from http://www.yt165.com/net/intro.asp
国家计算机病毒应急处理中心通过监测,于6月26日在我国和美国等国家发现一种通过互联网传播专门盗取“奇迹”和“传奇”游戏账号的蠕虫病毒——“木木”(Worm_MuMu.A)。
该病毒运行后将从体内放出PSIpcScan对所在网段的系统进行ipc密码破解(带有一个简单密码字典),当发现有破解出的密码后,病毒将自己复制到对方的系统利用psexec并启动,可以在网络中迅速传播。同时病毒将盗取到的账号密码发送到预置的信箱reint0.student@sina.com,sendmail2.student@sina.com和cq@58589.com。其中,病毒还利用某网站发送邮件,该网站自称“密码圣手”专门销售用于截取传奇、奇迹等游戏的登陆ID、密码、服务器等。病毒可随计算启动自动运行,并可躲避杀毒软件。
有关病毒的技术分析报告如下:
一、 感染系统
Windows 95/98/Me/NT/2000/XP
二、 技术特点
病毒名称:“木木”(Worm_Mumu.A)
病毒类型:蠕虫
病毒特征:
该病毒的程序使用Visual C++编制,主要感染系统为Windows 9x、Windows NT/2K 和Windows XP。病毒程序MUMU.EXE运行后释放出以下组件:
%Windows%/bboy.exe (21KB)
%System%/last.exe (21KB)
%System%/bboy.dll (37KB)
%System%/kavfind.exe (31KB)
%System%/psexec.exe (37KB)
%System%/IPCPass.txt (1KB)
%System%/mumu.exe (295KB)
(注:其中 %Windows% 为Windows缺省安装目录通常为C:/Windows or C:/WINNT。 %System%为Windows系统目录, Windows 95/98/ME系统位于 C:/Windows/System, Windows 2000/NT 系统位于C:/WINNT/System32 , Windows XP系统位于C:/Windows/System32)
其中BBOY.EXE和LAST.EXE是相同的 ,BBOY.DLL用于键盘截获。IPCPass.txt 含有预置的密码字典。PSEXEC.EXE 是sysinternals.com 发布的正常程序,用于远程启动程序。KAVFIND.EXE是另一个已有木马程序,它主要用于利用密码字典对C类地址进行扫描,然后进行口令猜测攻击。一旦攻击成功,将mumu.exe 拷贝到远程系统目录下,并使用PSEXEC.EXE激活病毒。
病毒将截获的游戏口令保存在文件%Windows%/QJINFO.INI中,并将该文件发送到reint0.student@sina.com和sendmail2.student@sina.com和cq@58589.com。
病毒添加注册表键值,使得病毒能随系统启动而自动运行,
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
Kernel ="%Windows%/bboy.exe"