BAT.Mumu.A.Worm

發現： 2003 年 6 月 2 日

更新： 2007 年 2 月 13 日 12:06:51 PM

別名： BAT/Mumu.worm [McAfee], Bat/Mumu-A [Sophos], BAT.Mumu [CA], Worm.Win32.Muma [KAV], BAT_SPYBOT.A [Trend]

類型: Worm

感染長度： various

受感染的系統： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

BAT.Mumu.A.Worm 是由批處理檔案和實用程式以及名為 Hacktool.Hacline 的入侵工具組成的集合。這些檔案的名稱和功能可能會改變。 本文中討論的信息以經過安全回響中心檢查的樣本為基礎。

這種蠕蟲將利用 Windows NT、2000 和 XP 系統上的管理共享進行傳播。 蠕蟲將在 Windows 95/98/Me 系統上執行，但不會破壞這些系統。

注意：BAT.Mumu.A.Worm 檢測使用 2003 年 6 月 18 日發布的病毒定義進行了更新，以便檢測到與最初發現的檔案存在輕微差異的某些樣本。

* 病毒定義（每周 LiveUpdate™） 2003 年 6 月 3 日

* 病毒定義（智慧型更新程式） 2003 年 6 月 3 日

廣度

* 廣度級別： Low

* 感染數量： More than 1000

* 站點數量： More than 10

* 地理位置分布： Low

* 威脅抑制： Easy

* 清除： Moderate

損壞

* 損壞級別： Low

* 降低性能： Network copying may cause performance degradation.

分發

* 分發級別： Medium

* 共享驅動器： Copies across administrative shares for which it can determine the password.

BAT.Mumu.A.Worm 是一個大型檔案集，這些檔案利用彼此通過 Windows NT、2000 和 XP 系統上的管理共享進行傳播。所用檔案如下所示：

* 10.bat：惡意批處理檔案。

* hack.bat：惡意批處理檔案。

* hfind.exe：將被檢測為 Hacktool.Hacline 的入侵工具。

* ipc.bat：惡意批處理檔案。

* muma.bat：惡意批處理檔案。

* near.bat：惡意批處理檔案。

* ntservice.bat：惡意批處理檔案，它將停止“應用程式”服務，使用 -install 參數運行 ntservice.exe，然後啟動“應用程式”服務。

* ntservice.exe：用 UPX 打包的執行檔，它將創建 NTService.ini 中描述的服務。

* NTService.ini：名為“應用程式”的服務的信息，它將運行 cmd.exe /c ss.bat。

* nwiz.exe：來自 nVidia 的合法程式。

* nwiz.in_：配置檔案。

* nwiz.ini：配置檔案。

* ipcpass.txt：文本檔案。

* tihuan.txt：文本檔案。

* rep.exe：用於替換字元串的合法實用程式。

* psexec.exe：來自 Sysinternals 的合法實用程式，可以遠程啟動進程。

* random.bat：惡意批處理檔案。

* replace.bat：惡意批處理檔案。

* ss.bat：批處理檔案，它將創建 admin 用戶，並在遠程計算機上運行 psexec。

* start.bat：惡意批處理檔案。

* pcmsg.dll：來自 pcGhost 實用程式的合法檔案（不要與 Symantec 克隆軟體 Ghost 混淆）。

執行此蠕蟲時，將會執行下列操作：

首先執行 Start.bat。 此檔案將調用其他幾個檔案在系統上執行下列操作：

1. 查找驅動器 C: 到 H: 中位於資料夾 \MU（包括子資料夾）中的所有檔案，然後將它們保存到 LAN.LOG 檔案中。如果所列出的任何檔案中包含字元串“MU”，都將啟動 nwiz.exe。 此過程完成後，將刪除 LAN.LOG。

2. 刪除檔案 ipcfind.txt 並調用入侵工具 Hfind.exe，Norton AntiVirus 將該工具檢測為 Hacktool.Hacline。傳遞給此檔案的命令行參數將是一個 IP 地址範圍。 該範圍將以 IP 地址的前兩個八位位元組（隨機排列）開頭，後跟 .0.1，結尾同樣為 IP 地址的前兩個八位位元組，但後跟.255.255。

Hfind.exe 將嘗試找到管理共享的密碼，並將此信息保存到 ipcfind.txt 檔案中。該工具將使用下列密碼：

password

passwd

admin

pass

123

1234

12345

123456

<blank>

3. 使用 ipcfind.txt 替換 Tihuan.txt 檔案。

4. 對於 Hfind.exe 所發現的任何帳戶，嘗試使用管理共享將所有上述檔案複製到 %System% 資料夾中。

注意：%System% 是一個變數。蠕蟲會找到 System 資料夾，並將自身複製到其中。默認情況下，此資料夾為 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。

5. 如果檔案被成功複製，蠕蟲將嘗試使用工具 psexec.exe 啟動 start.bat。這將有效啟動遠程計算機上的蠕蟲。

6. 蠕蟲將在系統上運行 netstat 命令。 然後，它將嘗試調用批處理檔案 Near.bat，並為其提供 IP 地址。

7. 在 Windows NT/2000/XP 下，蠕蟲將創建一個默認名稱為“應用程式”的服務。 此服務將使得在每次啟動 Windows 時運行 ss.bat 檔案。

8. Ss.bat 創建或修改 admin 帳戶，並為其分配密碼 KKKKKKK，然後將該帳戶添加到 Administrators 組中。

Nwiz.ini 和 Nwiz.in_ 檔案相同。 它們應該是 nwiz.exe 的配置檔案。但是，這兩個檔案包含幾個被普通加密的字元串。

解密後的檔案中包含登錄到電子郵件伺服器以及傳送電子郵件所需的信息。 由此可以推斷，作者可能打算使用這些字元串從受感染系統傳送私人信息。 但是，該作者顯然是犯了某些邏輯錯誤，因為此功能未能如願實現。

賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”：

* 禁用並刪除不需要的服務。 默認情況下，許多作業系統會安裝不必要的輔助服務，如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程式更新即可完成。

* 如果混合型威脅攻擊了一個或多個網路服務，則在套用補丁程式之前，請禁用或禁止訪問這些服務。

* 始終安裝最新的補丁程式，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公布的安全更新，也要及時套用。

* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。

* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件，這些檔案常用於傳播病毒。

* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。

* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式，那么訪問受感染的網站也會造成病毒感染。

使用 BAT.Mumu.A.Worm 防毒工具防毒

Symantec 安全回響中心已經創建了用於殺除 BAT.Mumu.A.Worm 的工具，這是消除此類威脅的最簡便方法。

除了使用防毒工具，還可以手動消除該威脅。

以下指導適用於所有當前和最新的 Symantec 防病毒產品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。

1. 禁用系統還原（Windows Me/XP）。

2. 找到並停止進程（如果適用）。

3. 找到並停止服務。

4. 恢復對 admin 帳戶的修改。

5. 更新病毒定義。

6. 運行完整的系統掃描，並刪除被檢測為 BAT.Mumu.A.Worm 或 Hacktool.Hacline 的所有檔案。刪除上述未被檢測出以及不需要的所有其他檔案。

有關每個步驟的詳細信息，請閱讀以下指導。

1. 禁用系統還原（Windows Me/XP）

如果您運行的是 Windows Me 或 Windows XP，建議您暫時關閉“系統還原”。此功能默認情況下是啟用的，一旦計算機中的檔案被破壞，Windows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機，則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。

Windows 禁止包括防病毒程式在內的外部程式修改系統還原。因此，防病毒程式或工具無法刪除 System Restore 資料夾中的威脅。這樣，系統還原就可能將受感染檔案還原到計算機上，即使您已經清除了所有其他位置的受感染檔案。

此外，病毒掃描可能還會檢測到 System Restore 資料夾中的威脅，即使您已將該威脅刪除。

有關如何關閉系統還原功能的指導，請參閱 Windows 文檔或下列文章之一：

o 如何禁用或啟用 Windows XP 系統還原

o 如何禁用或啟用 Windows Me 系統還原

有關詳細信息以及禁用 Windows Me 系統還原的其他方法，請參閱 Microsoft 知識庫文章：病毒防護工具無法清除 _Restore 資料夾中受感染的檔案，文章 ID：CH263455。

2. 找到並停止進程（如果適用）

1. 按一次 Ctrl+Alt+Delete。

2. 單擊“任務管理器”。

3. 單擊“進程”選項卡。

4. 雙擊“映像名稱”列標題，按字母順序對進程排序。

5. 滾動列表並查找 ntservice.exe。

6. 如果找到該檔案，則單擊此檔案，然後單擊“結束進程”。

7. 退出“任務管理器”。

3. 找到並停止服務

1. 單擊“開始”，然後單擊“運行”。

2. 鍵入 services.msc，然後單擊“確定”。

3. 找到並選擇服務“應用程式”。

4. 單擊“操作”，然後單擊“屬性”。

5. 單擊“停止”。

6. 將“啟動類型”更改為“手動”。

7. 單擊“確定”，然後關閉“服務”視窗。

8. 重新啟動計算機。

4. 恢復對 admin 帳戶的修改

5. 更新病毒定義

Symantec 安全回響中心在我們的伺服器上發布任何病毒定義之前，會對其進行全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義：

o 運行 LiveUpdate（這是獲取病毒定義的最簡便方法）：這些病毒定義被每周一次（通常在星期三）發布到 LiveUpdate 伺服器上，除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義，請參考病毒定義 (LiveUpdate)。

o 使用智慧型更新程式下載病毒定義：智慧型更新程式病毒定義會在工作日（美國時間，星期一至星期五）發布。應該從 Symantec 安全回響中心網站下載病毒定義並手動進行安裝。要確定是否可通過智慧型更新程式獲取此威脅的定義，請參考病毒定義（智慧型更新程式）。

現在提供智慧型更新程式病毒定義：有關詳細說明，請參閱如何使用智慧型更新程式更新病毒定義檔案。

6. 掃描和刪除受感染檔案

1. 啟動 Symantec 防病毒程式，並確保已將其配置為掃描所有檔案。

o Norton AntiVirus 單機版產品：請閱讀文檔：如何配置 Norton AntiVirus 以掃描所有檔案。

o 賽門鐵克企業版防病毒產品：請閱讀 如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案。

2. 運行完整的系統掃描。

3. 如果檢測到任何檔案被 BAT.Mumu.A.Worm 或 Hacktool.Hacline 感染，請單擊“刪除”。

4. 請參閱“詳細技術說明”一節，然後使用 Windows Explorer 刪除您所找到的所有無惡意的檔案。

描述者： Neal Hindocha