Trojan.MuMu

★★★☆

隨機

木馬病毒

網路

網路

WIN9X//NT/2000/XP

該病毒病毒運行後還會在記憶體中建立兩個名為：last和mumu的進程。

此病毒會有如下特徵，如果用戶發現計算機中有這些特徵，則很有可能中了此病毒：

1. 病毒運行時會在記憶體中產生一個名為：last.exe和mumu.exe的進程。NT以上作業系統的用戶可以用任務管理器直接將該進程殺掉，9X作業系統的用戶則只能用第三方軟體如PROCVIEW等工具殺掉該病毒進程。

2. 病毒運行時會將自身拷貝為：%windir%bboy.exe、%systemdir%last.exe、%systemdir%bboy.dll、%systemdir%mumu.exe、%systemdir%qjinfo.ini。用戶可以在計算機中搜尋這些檔案，找到後直接刪除。

注意：%Windir%是一個變數，它指的是作業系統安裝目錄，默認是：“C:\Windows”或：“c:\Winnt”,也可以是用戶在安裝作業系統時指定的其它目錄。%systemdir%是一個變數，它指的是作業系統安裝目錄中的系統目錄，默認是：“C:\Windows\system”或：“c:\Winnt\system32”。

3. 病毒運行時會修改註冊表的自啟動項：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，在其中加入名稱為：Folder Service，內容為：qjinfo.exe的註冊表鍵和名稱為：Kernel，內容為：%winDir%bboy.exe的註冊表鍵，以便下次系統啟動時病毒能自動運行。用戶可以用REGEDIT工具，將該註冊表鍵直接刪除，使病毒無法啟動。

用戶如果在自己的計算機中發現以上全部或部分現象，則很有可能中了神速木馬(Trojan.MuMu)病毒。為避免用戶遭受損失，瑞星公司已於截獲該病毒當天就進行了升級，瑞星防毒軟體2003版、瑞星線上防毒、瑞星防毒軟體“下載版”，這三款產品每周三次同步升級，15.41.20版已可清除此病毒，目前瑞星用戶只需及時升級手中的軟體即可徹底攔截此病毒。

1. 建立良好的安全習慣。例如：對一些來歷不明的郵件及附屬檔案不要打開，不要上一些不太了解的網站、不要執行從 Internet 下載後未經防毒處理的軟體等，這些必要的習慣會使您的計算機更安全。

2. 關閉或刪除系統中不需要的服務。默認情況下，許多作業系統會安裝一些輔助服務，如 FTP 客戶端、Telnet 和 Web 伺服器。這些服務為攻擊者提供了方便，而又對用戶沒有太大用處，如果刪除它們，就能大大減少被攻擊的可能性。

3. 經常升級安全補丁。據統計，有80%的網路病毒是通過系統安全漏洞進行傳播的，象紅色代碼、尼姆達等病毒，所以我們應該定期到微軟網站去下載最新的安全補丁，以防患未然。

4. 使用複雜的密碼。有許多網路病毒就是通過猜測簡單密碼的方式攻擊系統的，因此使用複雜的密碼，將會大大提高計算機的安全係數。

5. 迅速隔離受感染的計算機。當您的計算機發現病毒或異常時應立刻斷網，以防止計算機受到更多的感染，或者成為傳播源，再次感染其它計算機。

6. 了解一些病毒知識。這樣就可以及時發現新病毒並採取相應措施，在關鍵時刻使自己的計算機免受病毒破壞：如果能了解一些註冊表知識，就可以定期看一看註冊表的自啟動項是否有可疑鍵值；如果了解一些記憶體知識，就可以經常看看記憶體中是否有可疑程式。

7. 最好是安裝專業的防毒軟體進行全面監控。在病毒日益增多的今天，使用毒軟體進行防毒，是越來越經濟的選擇，不過用戶在安裝了反病毒軟體之後，應該經常進行升級、將一些主要監控經常打開（如郵件監控）、遇到問題要上報， 這樣才能真正保障計算機的安全。