蠕虫病毒"木木"(Worm_Mumu.A)

最新推荐文章于 2022-02-11 15:18:16 发布
最新推荐文章于 2022-02-11 15:18:16 发布
阅读量2.5k 收藏
点赞数
分类专栏: 技术类 文章标签: windows system 游戏 破解 杀毒软件 xp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ruluo/article/details/509608
版权

from http://www.yt165.com/net/intro.asp

国家计算机病毒应急处理中心通过监测,于6月26日在我国和美国等国家发现一种通过互联网传播专门盗取“奇迹”和“传奇”游戏账号的蠕虫病毒——“木木”(Worm_MuMu.A)。
该病毒运行后将从体内放出PSIpcScan对所在网段的系统进行ipc密码破解(带有一个简单密码字典),当发现有破解出的密码后,病毒将自己复制到对方的系统利用psexec并启动,可以在网络中迅速传播。同时病毒将盗取到的账号密码发送到预置的信箱reint0.student@sina.comsendmail2.student@sina.comcq@58589.com。其中,病毒还利用某网站发送邮件,该网站自称“密码圣手”专门销售用于截取传奇、奇迹等游戏的登陆ID、密码、服务器等。病毒可随计算启动自动运行,并可躲避杀毒软件。

 有关病毒的技术分析报告如下:

  一、 感染系统
    Windows 95/98/Me/NT/2000/XP

  二、 技术特点

    病毒名称:“木木”(Worm_Mumu.A

    病毒类型:蠕虫

    病毒特征:

该病毒的程序使用Visual C++编制,主要感染系统为Windows 9x、Windows NT/2KWindows XP。病毒程序MUMU.EXE运行后释放出以下组件:

%Windows%/bboy.exe (21KB)
%System%/last.exe (21KB)
%System%/bboy.dll (37KB)
%System%/kavfind.exe (31KB)
%System%/psexec.exe (37KB)
%System%/IPCPass.txt (1KB)
%System%/mumu.exe (295KB)

(注:其中 %Windows%Windows缺省安装目录通常为C:/Windows or C:/WINNT%System%Windows系统目录, Windows 95/98/ME系统位于 C:/Windows/System, Windows 2000/NT 系统位于C:/WINNT/System32 , Windows XP系统位于C:/Windows/System32
其中BBOY.EXELAST.EXE是相同的 ,BBOY.DLL用于键盘截获。IPCPass.txt 含有预置的密码字典。PSEXEC.EXEsysinternals.com 发布的正常程序,用于远程启动程序。KAVFIND.EXE是另一个已有木马程序,它主要用于利用密码字典对C类地址进行扫描,然后进行口令猜测攻击。一旦攻击成功,将mumu.exe 拷贝到远程系统目录下,并使用PSEXEC.EXE激活病毒。

病毒将截获的游戏口令保存在文件%Windows%/QJINFO.INI中,并将该文件发送到reint0.student@sina.comsendmail2.student@sina.comcq@58589.com

病毒添加注册表键值,使得病毒能随系统启动而自动运行,
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
Kernel ="%Windows%/bboy.exe"

Ruluo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
清除Conficker蠕虫病毒详细步骤
weixin_34413802的博客
08-10 2301
Conficker简介:        Worm:Win32/Conficker.B.9.831 ,利用MS-0867漏洞的蠕虫。        conficker蠕虫传播主要通过运行windows系统的服务器服务的缓冲区漏洞。它使用特定的RPC请求在目标电脑上执行代码。当在一台电脑中成功执行,它会禁用一些系统服务,比如windows系统更新,windows安全中心,windowsdefend...
蠕虫病毒Worm: VBS/Jenxcus!lnk 解决方案 Python脚本
不激不随
04-20 8878
表现:U盘里所有根目录文件夹/文件都变成了快捷方式。 传播方式:U盘。多发于打印店等无保护公共设备。 原因:文件夹/文件属性被设为隐藏的系统文件 Win+R //进入cmd E: //进入U盘 attrib //查看文件属性 发现文件属性被改为了SH(System Hidden)Windows下无法查看隐藏的系统文件(即使在打开“查看隐藏的项目”的情况下)attrib指令用于修改文件的属
蠕虫病毒——“木木”(Worm_MuMu.A)
10-14 1066
一、感染系统Windows 95/98/Me/NT/2000/XP 二、技术特点病毒名称:“木木”(Worm_Mumu.A)病毒类型:蠕虫病毒特征:该病毒的程序使用Visual C++编制,主要感染系统为Windows 9x、Windows NT/2K 和Windows XP。病毒程序MUMU.EXE运行后释放出以下组件:%Windows%/bboy.exe (21KB) %System%/las
僵木蠕病毒快速处置建议(零成本)
iokla
02-11 1万+
僵木蠕病毒快速处置建议病毒查杀防火墙阻断 病毒查杀 对使用该IP下的所有终端使用火绒恶性木马专杀工具(https://bbs.huorong.cn/thread-18575-1-1.html)等杀毒软件进行全面查杀 如果是服务器,同时使用360高危漏洞免疫工具(https://weishi.360.cn/mianyigongju.html )进行全面免疫 防火墙阻断 如果IP出口有防火墙,则在防火墙上针对相关僵木蠕域名和地址做阻断策略,以山石网科防火墙为例: 通过查看会话日志,根据策略ID迅速定位异
文件夹恶意软件WORM_AUTORUN.FIU处理
xiaoxiaodongshige的博客
05-18 2626
概述 感染现象 处理过程 善后概述这是一个很老的恶意软件。一般存在于老的校园网,打印店,通过U盘传播感染现象大多是U盘中的文件全部被隐藏了,然后变成文件夹.exe 或者链接文件。我通过360 或者脚本 去除文件夹隐藏,发现过了一会儿它又给我隐藏了。是的,就是这么坑处理过程我分析了一下,这个东东肯定是开机的时候启动了个啥进程常驻内存了。 1,我用任务管理器查看启动项,发现了个叫做 Program 的
WORM_DOWNAD.AD病毒清除记
Robert's Log
03-31 3814
最近一些朋友打电话过来问询公司有没有感染WORM_DOWNAD.AD病毒?如何处理的?解答过几次之后,想还是写出来,说不定其它朋友也许有需要呢?感染病毒症状:一,主要是针对AD服务器的攻击,利用猜密码的方式使用admin$尝试登入网域中的其它电脑,使大部分帐户被销定,无法登入系统。二,攻击其它电脑445端口,造成网络速度缓慢。解决方法:一,找到病毒源。  利用AD的安全性日志来查找感染病毒的电脑,
“威金(Worm.Viking)”病毒特点-专杀及_desktop.ini删除
兴华颖挚
12-08 1994
很麻烦的威金Worm.Viking病毒,今天发现电脑中出现了_desktop.ini的文件,才知道中了名为威金(Worm.Viking)的病毒,而安装的江民杀毒软件竟然杀不了,没办法了,只好上网查找解决方法,还真让我给找到了,问题解决了,方法不敢独享,介绍给机器出了同样问题的人. 一、该病毒特点: 处理时间:2006-06-01 威胁级别:★★ 病毒类型:蠕虫 影响系统:Win 9x/ME
红色警报:WORM_STUXNET.A病毒正在流行
亚信安全-云安全博客
09-26 1020
                        中国区病毒通告--趋势科技--中国((Trend Micro, China)尊敬的用户:    您好,趋势科技提醒您,WORM_STUXNET.A病毒正在流行。趋势科技中国在此通知您:请密切关注WORM_STUXNET.A病毒!·  病毒名称:WORM_STUXNET.A·  传染途径:移动存储设备·  需要的病毒码更新版本:中国区病毒码升级到7.354.00以上 ;全球区病毒码升级到7.353.00以上————————————————————紧急预防方法:1
sql_programming_code_developed_worm.rar_The Worm_WORM
09-24
标题中的"sql_programming_code_developed_worm.rar_The_Worm_WORM"指的是一个关于SQL编程开发的蠕虫病毒的代码压缩包。这个压缩包包含了一个名为"The Worm_WORM"的经典蠕虫代码实例,其核心是利用SQL编程语言进行...
worm_reducer.rar_减速器
07-14
在本项目中,我们关注的是"worm_reducer.rar_减速器",这是一个关于单级蜗杆减速器的设计课程作业。这个压缩包包含了设计过程中所需的各种资料,包括二维图、三维图以及设计效果图片。 首先,我们要理解蜗杆减速器...
Termite-Beta1.0跳板机_WORM_SameSame_termite_Termite.exe_
10-02
【标题】"Termite-Beta1.0跳板机_WORM_SameSame_termite_Termite.exe_" 提供的关键信息是“Termite”程序的早期版本(Beta 1.0)被用作跳板机,并且它与一种名为“WORM_SameSame”的蠕虫病毒有关。"Termite.exe"是这...
worm_demo.rar
12-18
【worm_demo.rar】是一个压缩包,其中包含了一个简化版的CSDN(China Software Developer Network)网站爬虫项目。这个项目使用了流行的Java Web开发框架Spring Boot,以及Apache HttpClient库的CloseableHttpClient...
worm_downad.ad趋势&微软专杀工具
01-06
这个病毒是局域网的蠕虫病毒,就是寄生在局域网的某台电脑上,然后通过局域网攻击其他电脑,试其他电脑的密码,所以关键就是要找到病毒源,然后再用专杀干掉。我是在那个趋势的服务器端上看防火墙日志, 上面都有哪...
TPC-C学习笔记
热门推荐
ruluo
10-21 1万+
2TPCC基准测试 TPCC值被广泛用于衡量C/S环境下,由服务器和客户端构筑的整体系统的性能,它由事物处理性能委员会(TPC,Transaction Processing Corp)制定,TPC为非赢利性国际组织。  TPCC值可以反映出系统的性能价格比。TPCC测试系统每分钟处理的任务数,单位为tpm,(transactions per minute)。系统的总体价格(单位为美元)除以TPC
JMeter学习笔记
ruluo
10-19 8115
JMeter资源http://www.bonoy.com/jmeter/http://www.bonoy.com/a/index.php?name=PNphpBB2&file=viewforum&f=39&sid=dc396bf64d7cf935cf52a52e0970bd11http://jakarta.apache.org/jmeter/index.html以下内容都转载自网上,每一部分下面都
BPEL基础总结
ruluo
03-15 2840
资料来自1 使用bpel4ws的业务流程http://www-900.ibm.com/developerWorks/cn/webservices/ws-bpelcol/index.shtml  2 Web服务:BPEL4WS专题http://www-900.ibm.com/developerWorks/cn/webservices/ws-theme/ws-bpel.shtml 什么是BPEL4WS
MySQL安装
ruluo
10-07 2743
on Linuxinstall mysql: shell> groupadd mysql shell> useradd -g mysql mysql shell> cd /usr/local shell> gunzip shell> ln -s full-path-to-mysql-VERSION-OS mysql shell> cd mysql shell> scripts/mysql_inst
os.system("cp -f " + __file__ + " " + os.path.join(root, "worm.py"))
最新发布
05-17
这行代码会将当前脚本文件复制到指定目录下的"worm.py"文件中。具体来说,os.system()函数会执行一个命令,而这个命令是"cp -f " + __file__ + " " + os.path.join(root, "worm.py"),其中"cp"表示复制命令,"-f"表示强制覆盖目标文件(如果存在的话),__file__表示当前脚本文件的路径,os.path.join(root, "worm.py")表示指定目录下的"worm.py"文件的路径。因此,这行代码的作用是将当前脚本文件复制到指定目录下的"worm.py"文件中,并强制覆盖原有的"worm.py"文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值