一、感染系统
Windows 95/98/Me/NT/2000/XP
二、技术特点
病毒名称:“木木”(Worm_Mumu.A)
病毒类型:蠕虫
病毒特征:
该病毒的程序使用Visual C++编制,主要感染系统为Windows 9x、Windows NT/2K 和Windows XP。病毒程序MUMU.EXE运行后释放出以下组件:
%Windows%/bboy.exe (21KB)
%System%/last.exe (21KB)
%System%/bboy.dll (37KB)
%System%/kavfind.exe (31KB)
%System%/psexec.exe (37KB)
%System%/IPCPass.txt (1KB)
%System%/mumu.exe (295KB)
(注:其中 %Windows% 为Windows缺省安装目录通常为C:/Windows or C:/WINNT。 %System%为Windows系统目录, Windows 95/98/ME系统位于 C:/Windows/System, Windows 2000/NT 系统位于C:/WINNT/System32 , Windows XP系统位于C:/Windows/System32)
其中BBOY.EXE和LAST.EXE是相同的 ,BBOY.DLL用于键盘截获。IPCPass.txt 含有预置的密码字典。PSEXEC.EXE 是sysinternals.com 发布的正常程序,用于远程启动程序。KAVFIND.EXE是另一个已有木马程序,它主要用于利用密码字典对C类地址进行扫描,然后进行口令猜测攻击。一旦攻击成功,将mumu.exe 拷贝到远程系统目录下,并使用PSEXEC.EXE激活病毒。病毒使用的密码字典如下:
%null%
%username%
%username%12
%username%123
%username%1234
123
1234
12345
123456
1234567
12345678
654321
54321
1
111
11111
111111
11111111
000000
00000000
888888
88888888
5201314
pass
passwd
password
sql
database
admin
root
secret
oracle
sybase
test
server
computer
Internet
super
user
manager
security
public
private
default
1234qwer
123qwe
abcd
abc123
123abc
abc
123asd
asdf
asdfgh
!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
!@#$%^&*(
!@#$%^&*()
KKKKKKK
病毒将截获的游戏口令保存在文件%Windows%/QJINFO.INI中,并将该文件发送到reint0.student@sina.com和sendmail2.student@sina.com和cq@58589.com。
病毒添加注册表键值,使得病毒能随系统启动而自动运行,
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
Kernel ="%Windows%/bboy.exe"
Windows 95/98/Me/NT/2000/XP
二、技术特点
病毒名称:“木木”(Worm_Mumu.A)
病毒类型:蠕虫
病毒特征:
该病毒的程序使用Visual C++编制,主要感染系统为Windows 9x、Windows NT/2K 和Windows XP。病毒程序MUMU.EXE运行后释放出以下组件:
%Windows%/bboy.exe (21KB)
%System%/last.exe (21KB)
%System%/bboy.dll (37KB)
%System%/kavfind.exe (31KB)
%System%/psexec.exe (37KB)
%System%/IPCPass.txt (1KB)
%System%/mumu.exe (295KB)
(注:其中 %Windows% 为Windows缺省安装目录通常为C:/Windows or C:/WINNT。 %System%为Windows系统目录, Windows 95/98/ME系统位于 C:/Windows/System, Windows 2000/NT 系统位于C:/WINNT/System32 , Windows XP系统位于C:/Windows/System32)
其中BBOY.EXE和LAST.EXE是相同的 ,BBOY.DLL用于键盘截获。IPCPass.txt 含有预置的密码字典。PSEXEC.EXE 是sysinternals.com 发布的正常程序,用于远程启动程序。KAVFIND.EXE是另一个已有木马程序,它主要用于利用密码字典对C类地址进行扫描,然后进行口令猜测攻击。一旦攻击成功,将mumu.exe 拷贝到远程系统目录下,并使用PSEXEC.EXE激活病毒。病毒使用的密码字典如下:
%null%
%username%
%username%12
%username%123
%username%1234
123
1234
12345
123456
1234567
12345678
654321
54321
1
111
11111
111111
11111111
000000
00000000
888888
88888888
5201314
pass
passwd
password
sql
database
admin
root
secret
oracle
sybase
test
server
computer
Internet
super
user
manager
security
public
private
default
1234qwer
123qwe
abcd
abc123
123abc
abc
123asd
asdf
asdfgh
!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
!@#$%^&*(
!@#$%^&*()
KKKKKKK
病毒将截获的游戏口令保存在文件%Windows%/QJINFO.INI中,并将该文件发送到reint0.student@sina.com和sendmail2.student@sina.com和cq@58589.com。
病毒添加注册表键值,使得病毒能随系统启动而自动运行,
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
Kernel ="%Windows%/bboy.exe"
扫一扫
2589
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
