危害級別:中
傳播速度:高
技術特徵:
該病毒採用批處理命令編寫,並攜帶連線埠掃描工具,通過暴力破解被攻擊的計算機超級用戶Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密碼,進行瘋狂傳播。
病毒行為:
1、病毒可能複製以下檔案到系統目錄
10.bat
hack.bat
hfind.exe
ipc.bat
muma.bat
near.bat
ntservice.bat
ntservice.exe
NTService.ini
nwiz.exe
nwiz.in_
nwiz.ini
ipcpass.txt
tihuan.txt
rep.exe
psexec.exe
random.bat
replace.bat
ss.bat
start.bat
pcmsg.dll
2、病毒由Start.bat開始運行。這個批處理程式會調用其它批處理程式去完成傳染;
3、病毒會搜尋從C:到H:盤中\MU目錄以及其了目錄下的所有檔案,並把檔案名稱保存在LAN.LOG檔案中。當被搜尋的檔案名稱中包含“MU”字元串時,nwiz.exe將被執行,nwiz.exe根據nwiz.ini和nwiz.in_檔案對病毒中的字元串進行簡單的加密。這個搜尋過程完成後,LAN.LOG會被刪除;
4、刪除ipcfind.txt檔案,調HFind.exe進行網路掃描,搜尋網路中的計算機。並試圖使用以下的密碼去破解被攻擊的計算機。可能的密碼是:
password
passwd
admin
pass
123
1234
12345
123456
<密碼為空>
5、被HFind.exe破解成功的計算機,會被病毒將上述的所有檔案通過管理員檔案共享方式拷貝到其系統目錄下。對於Windows NT、Windows200系統是C:\winnt\system32目錄,對於WindowsXP系統是C:\winnt\system32或C:\Windows\system32目錄,對於Win9X是C:\windows\system目錄;
6、傳染成功後,病毒會用Psexec.exe程式遠程啟動被感染計算機上的Start.bat,從而使病毒在被感染的計算機上激活;
7、調用系統程式netstat.exe,然後運行Near.bat從netstat的輸出信息中獲得更多的IP,並對這些IP進行攻擊;
8、ss.bat創建或者修改系統中的admin用戶,並設定其它密碼為:KKKKKKK。為被攻擊計算機留下一個後門。
9、利用ntservice.bat調用ntservice.exe為自己註冊一個名為"Application"的系統服務,保證自己能在每次系統重啟時被激。