說明介紹

BAT.Mumu.A.Worm 是內含很多檔案的集合，它利用這些檔案彼此互相散播至 Windows NT、2000 與 XP 系統的管理員共用資料夾。用到的檔案有： 10.bat：一個惡意的批次檔。 hack.bat：一個惡意的批次檔。 hfind.exe：偵測為 Hacktool.Hacline 的駭客工具。 ipc.bat：一個惡意的批次檔。 muma.bat：一個惡意的批次檔。 near.bat：一個惡意的批次檔。 ntservice.bat：一個惡意的批次檔，它會停止 Application 服務、使用 –install 參數來執行 ntservice.exe，然後啟動 Application 服務。 ntservice.exe：一個 UPX 壓縮格式的執行檔，可建立 NTService.ini 中所描述的服務。 NTService.ini：提供名為 Application 的服務資訊，並執行 cmd.exe /c ss.bat。 nwiz.exe：來自 nVidia 的合法應用程式。 nwiz.in_：一個設定檔。 nwiz.ini：一個設定檔。 ipcpass.txt：一個文字檔。 tihuan.txt：一個文字檔。 rep.exe：一個用來置換字串的合法公用程式。 psexec.exe：來自 Sysinternals 的合法公用程式，用來進行遠端啟動程序。 random.bat：一個惡意的批次檔。 replace.bat：一個惡意的批次檔。 ss.bat：會建立 admin 使用者且能在遠端電腦上執行 psexec 的批次檔。 start.bat：一個惡意的批次檔。 pcmsg.dll：來自 pcGhost 公用程式的合法檔案 (請勿與賽門鐵克的複製軟體 Ghost 混淆了)。 一旦執行了這個病蟲，執行的情況如下所示： Start.bat 先執行。它會呼叫其它的檔案在系統上執行下列動作： 1. 找到 C: 到 H: 磁碟上之 \MU (包含子資料夾) 資料夾中的所有檔案，然後將它們存入 LAN.LOG 檔案中，如果列出的檔案中包含 "MU" 字串，則將啟動 nwiz.exe。一旦完成這個程序，LAN.LOG 將被刪除。 2. 刪除 ipcfind.txt 並呼叫被 Norton AntiVirus 偵測為 Hacktool.Hacline 的駭客工具 Hfind.exe。傳送到此檔案的指令行參數將會是某一段 IP 位址。該範圍會是在 IP 位址的前兩組八位元數字加上 .0.1 (隨機選取而得)，後兩組則是以前兩組八位元數字加上 .255.255。 Hfind.exe 會嘗試找到管理員共用資料夾的密碼並將此資訊存在名為 ipcfind.txt 的檔案中。此工具會使用下列密碼： password passwd admin pass 123 1234 12345 123456 <空白> 3. 以 ipcfind.txt 取代 Tihuan.txt 檔案。 4. Hfind.exe 一旦找到任何帳戶都會使用管理員共用資料夾嘗試將之前提到的所有檔案複製到 %System% 資料夾中。 注意：%System% 代表變數。病蟲會找到 System 資料夾並將自己複製過去。預設的位置是 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。 5. 如果檔案成功複製過去的話，病蟲會嘗試使用 psexec.exe 工具來啟動 start.bat。這樣一來會在遠端機器上啟動病蟲。 6. 病蟲會在系統上執行 netstat 指令。然後，它會嘗試呼叫 Near.bat 批次檔並給它一個 IP 位址。 7. 病蟲會在 Windows NT/2000/XP 底下建立一個服務，預設名稱是 Application。此服務會導致 ss.bat 檔案於每次 Windows 啟動時自動執行。 8. Ss.bat 會建立或修改 admin 的帳戶名稱，指定 KKKKKKK 的密碼給它，然後將它加入 Administrator 群組。 Nwiz.ini 與 Nwiz.in_ 檔案一模一樣，它們原本應該是供 nwiz.exe 使用的設定檔，可是它們包含了數行被稍微加密過的字串。 一旦解密後，它們包含記錄到電子郵件伺服器與傳送郵件所需的資訊。因此很有可能的是，作者想要利用這些字串從受感染系統上傳送自身的資訊。可是，作者似乎邏輯上有些誤差，因為它的功能並未如預期般發揮作用。 「賽門鐵克安全機制應變中心」建議所有的使用者與管理員遵照下列基本的安全手則「最佳範例」執行管理： 關閉並移除不必要的服務。很多作業系統會預設安裝非必要的附屬服務項目，例如 FTP 用戶端、telnet 以及 Web 伺服器。這些服務等於提供了病毒攻擊的目標。當這些服務移除之後，混合型威脅就比較不容易找到下手的目標，同時您在進行系統的修補更新時也不需要維護很多的服務。 如果混合型威脅偵測到一個以上的網路服務，在執行修補程式之前請先關閉或封鎖存取這些服務。 永遠保持您的修補程式在最新的狀態，特別是針對那些代管公共服務以及可以透過防火牆存取的服務主機，例如 HTTP、FTP、郵件以及 DNS 服務。 強制施行密碼原則。在遭到破壞的電腦上，複雜的密碼機制將使駭客更難解開受密碼保護的檔案。這樣一來，當電腦遭受破壞時，可以有效降低資料的損害程度。 請將您的郵件伺服器設定為封鎖或移除所有內含.vbs、.bat、.exe、.pif 與 .scr 等副檔名之附件的郵件。 接著將這些受感染的電腦快速隔離到網路外，以避免危害整個公司的運作。這時候請仔細檢查這些受感染的電腦，並使用可信賴的媒體來還原至可用狀態。 訓練員工不要開啟含有上述副檔名的郵件，除非已事先知情這些郵件內容。同時，不要執行從 Internet 上下載的軟體，除非他們已經掃毒過。當您造訪一個受感染的網站時，如果您的瀏覽器未安裝好弱點修補程式的話，您的電腦很容易就會受到感染。 使用 BAT.Mumu.A.Worm 移除工具來移除 賽門鐵克安全機制應變中心已經開發了一套工具，可用來移除 BAT.Mumu.A.Worm。這是移除此威脅最簡易的方法。 手動移除 除了可以使用移除工具外，您還可以手動移除病蟲。 下列指示是針對目前市面上所見的最新賽門鐵克防毒產品所撰寫，包括 Symantec AntiVirus 與 Norton AntiVirus 的產品線。 1. 關閉「系統還原」(Windows Me/XP)。 2. 找到並停止程序 (如果可能的話)。 3. 找到並停止服務。回復對 admin 帳戶所作的修改。 4. 更新病毒定義檔。 5. 執行完整的系統掃描並刪除偵測為 BAT.Mumu.A.Worm 或 Hacktool.Hacline 的所有檔案。刪除任何其它上述未偵測到且不需要的檔案。 如需關於這些步驟的詳細資訊，請閱讀下列指示。 1. 關閉「系統還原」(Windows Me/XP) 如果您使用的是 Windows Me 或 Windows XP，我們建議您暫時關閉「系統還原」。Windows Me/XP 使用這個預設啟用的功能，來還原您電腦上受損的檔案。如果病毒、病蟲或特洛伊木馬感染的電腦，「系統還原」可能會一併將電腦上的病毒、病蟲或特洛伊木馬備份起來。 Windows 會防止包括防毒程式的外來程式修改「系統還原」。因此，防毒程式或是工具並無法移除「系統還原」資料夾內的病毒威脅。因此即使您已經將所有其它位置上的受感染檔案清除，「系統還原」還是很有可能會將受感染的檔案一併還原至電腦中。 同時，病毒可能會偵測到「系統還原」資料夾裡的威脅，即使您已移除該威脅亦然。 有關如何關閉「系統還原」的說明，請閱讀您的 Windows 文件，或下列文章： 如何關閉或啟用 Windows Me「系統還原」 如何關閉或啟用 Windows XP「系統還原」 如需其它資訊以及關閉「Windows Me 系統還原」的其它方法，請參閱 Microsoft 知識庫的文章 Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder，文章識別碼 (Article ID)：Q263455。 2. 找到並停止程序 (如果可能的話) a. 按一次 Ctrl+Alt+Delete。 b. 按下「工作管理員」。 c. 按下「處理程序」標籤。 d. 連按兩下「影像名稱」欄位標頭以便以英文字母順序進行排序。 e. 瀏覽一下清單並尋找 ntservice.exe。 f. 如果您找到該檔案，按下它並按下「結束處理程序」。 g. 結束「工作管理員」。 3. 找到並停止服務 a. 按下「開始」，然後按下「執行」。 b. 輸入 services.msc，接著按下「確定」。 c. 找到並選取 Application 服務。 d. 按下「執行」並按下「內容」。 e. 按下「停止」。 f. 將「啟動類型」變更為「手動」。 g. 按下「確定」並關閉「服務」視窗。 h. 重新啟動電腦。