W32.Mumu.B.Worm

W32/Mumu.b.worm [McAfee], WORM_MUMU.A [Trend], W32/Mumu-C [Sophos], Win32.Mumu.B [CA], Worm.Win32.Muma.c [KAV]

290,874 bytes (mumu.exe);30,208 bytes (kavfind.exe);20,408 bytes (bboy.exe);36,864 (bboy.dll)

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

* 病毒定義（每周 LiveUpdate?） 2003 年 6 月 26 日

* 病毒定義（智洪匙能更新程式） 2003 年 6 月 26 日

* 廣度級別： Medium

* 感染數量： 50 - 999

* 站點數量： More than 10

* 地理位置分布： Low

* 威脅抑制： Easy

* 清除： Moderate

* 損壞級別： Medium

* 降低性能： Network copying may cause performance degradation.

* 分發級別： Medium

* 連線埠： 139

* 共享驅動器： Copies across remotely accessible shares.

W32.Mumu.B.Worm 包括為該蠕蟲汽蜜朽提供特定功能的各種組件。該蠕蟲同步放置和運行這些組件。該蠕蟲還解析運行的結果。

下閥只項斷圖說明了 W32.Mumu.B.Worm 及其資源所攜帶的組件：

執行 W32.Mumu.B.Worm 時，該蠕蟲會執行下列操作：

1. 會創建以下兩個互斥體之一：

* aQjinfo1mutex

* aQjinfo2mutex

2. 從它的資源找到並防止以下文遙糊格件：

* %System%\Kavfind.exe（30,208 位元組，檢測為 Hacktool.Hacline）

* %System%\Last.exe（20,480 位元組，檢測為 Trojan.Mumuboy）

* %System%\Psexec.exe（36,352 位元組， SysInternals 的合法遠程處理啟動程式）

* %System%\IPcpass.txt（510 位元組，Hacktool.Hacline 使用的密碼列表）

注意：%System% 是一個變數。蠕蟲會找到 System 資料夾，並將自身複製到其中。默認情況下，此資料夾為 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。

3. 啟動 Last.exe (Trojan.Mumuboy)。

4. 將其自身複製到 %System%\Mumu.exe。

5. 創建以下註冊表以標誌其存在：

HKEY_LOCAL_MACHINE\SOFTWARE\mumu

6. 同時使用提供的目標 IP 地址啟動 Hacktool.Hacline。運行時，Hacktool.Hacline 執行下列操作：

檢查是否存在 W32.Mumu.B.Worm 放置的檔案 IPCpass.txt。該檔案包含詞典攻擊的名稱/密碼。如果未找到該檔案，則 Hacktool.Hacline 將使用名稱和背促才簽密碼的硬代碼列表。

嘗試通過連線埠 139/TCP (NetBIOS 會話服務)建立套接字連線，檢查目標是否使用 TCP/IP 運行 SMB 服務。

如果連線埠 139/TCP 可用，Hacktool.Hacline 將嘗試嫌紋獄使用 \\%target_IP%\IPC$ 建立 Null Session 連線（匿名登錄連線）。

注意：%target_IP% 是在提供的目標 IP 地址範圍內列舉的一個 IP 地址。Hacktool.Hacline 使用目標系統才鑽兵上的 Anonymous Null Session Passwords Exploit 來獲得用戶列表 (CVE-2000-1200 )。該功能可能派生自 W32.HLLW.Lioten。

一旦建立了 Null Session 連線，Hacktool.Hacline 會列舉目標系統上所有用戶帳戶（所有類型的帳戶）。

任何列舉的用戶帳戶都會添加到詞典中。

最後，Hacktool.Hacline 啟動弱密碼詞典攻擊來建立與共享 \\%target_IP%\Admin$ 的連線。詞典中的項目既可用作用戶名又可用作密碼。有關每個成功建立的連線的詳細信息都會記錄到 IPCfind.txt 檔案中。

注意：Hacktool.Hacline 以重複的登錄嘗試啟動多個執行緒，這可能造成帳戶鎖定。

Hacktool.Hacline 一退出，該蠕蟲就會檢查 IPCfind.txt 檔案。對於每個可連線的 SMB 共享，它將嘗試使用合法的工具 Net.exe 來建立連線。因此，該蠕蟲會嘗試將其自身以 \\%target_IP%\admin$\system32\mumu.exe 複製到目標系統。

然後，W32.Mumu.B.Worm 啟動遠程處理應用程式以啟動遠程檔案 %System%\Mumu.exe。

為 Hacktool.Hacline 指定的 IP 範圍取決於本地主機 IP 地址，或會隨機生成。該蠕蟲還會運行 Netstat.exe 以檢查當前以建立的連線。對於每個本地主機有開放連線的“可 ping 接”IP 地址，都會啟動 Hacktool.Hacline以查看是否有可破壞的網路資源。

7. 當 W32.Mumu.B.Worm 運行 Trojan.Mumuboy 執行檔時，它會執行以下操作：

* 創建互斥體 aQjaashyuhv1_0，確保只有一個實例在運行。

* 將自身以 %Windir%\Bboy.exe 放置。

* 創建值：

"Kernel"="%Windir%\bboy.exe"

位於以下註冊表鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

* 將檔案 Bboy.dll（36,864 位元組）放入 %System% 資料夾。該檔案還會被檢測為 Trojan.Mumuboy。

* 嘗試終止以下進程：

o pfw.exe

o Iparmor.exe

o Eghost.exe

o PasswordGuard.exe

o Dfvsnet.exe

o Kvfw.exe

o kvapfw.exe

* 將一個鉤子安裝到鉤連鏈中以解釋任何鍵擊，包括密碼、登錄詳細信息等等。

* 將截取的數據記錄到檔案 Qjinfo.ini。

* 使用另一個執行緒通過 HTTP 郵件伺服器 將檔案 Qjinfo.ini 以電子郵件形式傳送出去。此類電子郵件有以下特徵：

8. W32.Mumu.B.Worm 預期 Trojan.Mumuboy 會將截取的數據記錄到檔案 Qjinfo.ini。因此，它會等待 2.5 分鐘，然後再次以電子郵件形式傳送該檔案。這次使用內部的 SMTP 客戶端引擎。

SMTP 伺服器傳送。

9. 通過創建下列值嘗試進行自我註冊：

"Folder Service"="qjinfo.exe"

位於以下註冊表鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

但看似未放置檔案 Qjinfo.exe

注意：檔案 Qjinfo.exe 已在許多單獨的提交中收到。基於以下原因，我們假定 Qjinfo.exe 是 W32.Mumu.B.Worm 的早期版本：

o 它編譯的較早。

o 它的功能是 W32.Mumu.B.Worm 當前版本的子集。

建議所有用戶和管理員遵循以下基本安全“最佳實踐”：

* 禁用並刪除不需要的服務。 默認情況下，許多作業系統會安裝不必要的輔助服務，如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程式更新即可完成。

* 如果混合型威脅攻擊了一個或多個網路服務，則在套用補丁程式之前，請禁用或禁止訪問這些服務。

* 始終安裝最新的補丁程式，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公布的安全更新，也要及時套用。

* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。

* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件，這些檔案常用於傳播病毒。

* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。

* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式，那么訪問受感染的網站也會造成病毒感染。

使用 W32.Mumu.B.Worm 防毒工具進行防毒

Symantec 安全回響中心已經創建了用來殺除 的工具。這是消除此威脅的最簡便方法。

作為使用該防毒工具的替代方法，您可以手動消除此威脅。

以下指導適用於所有當前和最新的 Symantec 防病毒產品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。

1. 禁用系統還原（Windows Me/XP）。

2. 找到並終止程式 Mumu.exe 和 Last.exe。

3. 更新病毒定義。

4. 運行完整的系統掃描，並刪除所有被檢測為 W32.Mumu.B.Worm、Hacktool.Hacline 或 Trojan.Mumuboy 的檔案。

5. 刪除添加到註冊表的值。

有關每個步驟的詳細信息，請閱讀以下指導。

如果您運行的是 Windows Me 或 Windows XP，建議您暫時關閉“系統還原”。此功能默認情況下是啟用的，一旦計算機中的檔案被破壞，Windows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機，則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。

Windows 禁止包括防病毒程式在內的外部程式修改系統還原。因此，防病毒程式或工具無法刪除 System Restore 資料夾中的威脅。這樣，系統還原就可能將受感染檔案還原到計算機上，即使您已經清除了所有其他位置的受感染檔案。

此外，病毒掃描可能還會檢測到 System Restore 資料夾中的威脅，即使您已將該威脅刪除。

有關如何關閉系統還原功能的指導，請參閱 Windows 文檔或下列文章之一：

o 如何禁用或啟用 Windows XP 系統還原

o 如何禁用或啟用 Windows Me 系統還原

有關詳細信息以及禁用 Windows Me 系統還原的其他方法，請參閱 Microsoft 知識庫文章：病毒防護工具無法清除 _Restore 資料夾中受感染的檔案，文章 ID：CH263455。

1. 按一次 Ctrl+Alt+Delete。

2. 單擊“任務管理器”。

3. 單擊“進程”選項卡。

4. 雙擊“映像名稱”列標題，按字母順序對進程排序。

5. 滾動列表並查找 Winssk32.exe。

6. 如果找到該檔案，則單擊此檔案，然後單擊“結束進程”。

7. 退出“任務管理器”。

Symantec 在將病毒定義發布到伺服器之前，會對所有病毒定義進行徹底測試，以確保其質量。可使用以下兩種方法獲取最新的病毒定義：

* 運行 LiveUpdate（這是獲取病毒定義的最簡便方法）：這些病毒定義被每周一次（通常在星期三）發布到 LiveUpdate 伺服器上，除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義，請參考病毒定義 (LiveUpdate)。

* 使用智慧型更新程式下載病毒定義：智慧型更新程式病毒定義會在工作日（美國時間，星期一至星期五）發布。應該從 Symantec 安全回響中心網站下載病毒定義並手動進行安裝。要確定是否可通過智慧型更新程式獲取此威脅的定義，請參考病毒定義（智慧型更新程式）。

現在提供智慧型更新程式病毒定義：有關詳細說明，請參閱如何使用智慧型更新程式更新病毒定義檔案。

1. 啟動 Symantec 防病毒程式，並確保已將其配置為掃描所有檔案。

* Norton AntiVirus 單機版產品：請閱讀文檔：如何配置 Norton AntiVirus 以掃描所有檔案。

* 賽門鐵克企業版防病毒產品：請閱讀 如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案。

2. 運行完整的系統掃描。

3. 如果有任何檔案被檢測為感染了

5. 刪除對註冊表所做的更改

警告：強烈建議在進行任何更改前先備份註冊表。錯誤地更改註冊表可能導致數據永久丟失或檔案損壞。應只修改指定的鍵。有關指導，請參閱文檔：如何備份 Windows 註冊表

1. 單擊“開始”，然後單擊“運行”。（將出現“運行”對話框。）

2. 輸入 regedit 然後單擊“確定”。（將打開註冊表編輯器。）

3. 導航至以下鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4. 在右窗格中，刪除值：

Kernel

和

Folder Service

注意：%System% 是一個變數。蠕蟲會找到 System 資料夾，並將自身複製到其中。默認情況下，此資料夾為 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。

3. 啟動 Last.exe (Trojan.Mumuboy)。

4. 將其自身複製到 %System%\Mumu.exe。

5. 創建以下註冊表以標誌其存在：

HKEY_LOCAL_MACHINE\SOFTWARE\mumu

6. 同時使用提供的目標 IP 地址啟動 Hacktool.Hacline。運行時，Hacktool.Hacline 執行下列操作：

檢查是否存在 W32.Mumu.B.Worm 放置的檔案 IPCpass.txt。該檔案包含詞典攻擊的名稱/密碼。如果未找到該檔案，則 Hacktool.Hacline 將使用名稱和密碼的硬代碼列表。

嘗試通過連線埠 139/TCP (NetBIOS 會話服務)建立套接字連線，檢查目標是否使用 TCP/IP 運行 SMB 服務。

如果連線埠 139/TCP 可用，Hacktool.Hacline 將嘗試使用 \\%target_IP%\IPC$ 建立 Null Session 連線（匿名登錄連線）。

注意：%target_IP% 是在提供的目標 IP 地址範圍內列舉的一個 IP 地址。Hacktool.Hacline 使用目標系統上的 Anonymous Null Session Passwords Exploit 來獲得用戶列表 (CVE-2000-1200 )。該功能可能派生自 W32.HLLW.Lioten。

一旦建立了 Null Session 連線，Hacktool.Hacline 會列舉目標系統上所有用戶帳戶（所有類型的帳戶）。

任何列舉的用戶帳戶都會添加到詞典中。

最後，Hacktool.Hacline 啟動弱密碼詞典攻擊來建立與共享 \\%target_IP%\Admin$ 的連線。詞典中的項目既可用作用戶名又可用作密碼。有關每個成功建立的連線的詳細信息都會記錄到 IPCfind.txt 檔案中。

注意：Hacktool.Hacline 以重複的登錄嘗試啟動多個執行緒，這可能造成帳戶鎖定。

Hacktool.Hacline 一退出，該蠕蟲就會檢查 IPCfind.txt 檔案。對於每個可連線的 SMB 共享，它將嘗試使用合法的工具 Net.exe 來建立連線。因此，該蠕蟲會嘗試將其自身以 \\%target_IP%\admin$\system32\mumu.exe 複製到目標系統。

然後，W32.Mumu.B.Worm 啟動遠程處理應用程式以啟動遠程檔案 %System%\Mumu.exe。

為 Hacktool.Hacline 指定的 IP 範圍取決於本地主機 IP 地址，或會隨機生成。該蠕蟲還會運行 Netstat.exe 以檢查當前以建立的連線。對於每個本地主機有開放連線的“可 ping 接”IP 地址，都會啟動 Hacktool.Hacline以查看是否有可破壞的網路資源。

7. 當 W32.Mumu.B.Worm 運行 Trojan.Mumuboy 執行檔時，它會執行以下操作：

* 創建互斥體 aQjaashyuhv1_0，確保只有一個實例在運行。

* 將自身以 %Windir%\Bboy.exe 放置。

* 創建值：

"Kernel"="%Windir%\bboy.exe"

位於以下註冊表鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

* 將檔案 Bboy.dll（36,864 位元組）放入 %System% 資料夾。該檔案還會被檢測為 Trojan.Mumuboy。

* 嘗試終止以下進程：

o pfw.exe

o Iparmor.exe

o Eghost.exe

o PasswordGuard.exe

o Dfvsnet.exe

o Kvfw.exe

o kvapfw.exe

* 將一個鉤子安裝到鉤連鏈中以解釋任何鍵擊，包括密碼、登錄詳細信息等等。

* 將截取的數據記錄到檔案 Qjinfo.ini。

* 使用另一個執行緒通過 HTTP 郵件伺服器 將檔案 Qjinfo.ini 以電子郵件形式傳送出去。此類電子郵件有以下特徵：

8. W32.Mumu.B.Worm 預期 Trojan.Mumuboy 會將截取的數據記錄到檔案 Qjinfo.ini。因此，它會等待 2.5 分鐘，然後再次以電子郵件形式傳送該檔案。這次使用內部的 SMTP 客戶端引擎。

SMTP 伺服器傳送。

9. 通過創建下列值嘗試進行自我註冊：

"Folder Service"="qjinfo.exe"

位於以下註冊表鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

但看似未放置檔案 Qjinfo.exe

注意：檔案 Qjinfo.exe 已在許多單獨的提交中收到。基於以下原因，我們假定 Qjinfo.exe 是 W32.Mumu.B.Worm 的早期版本：

o 它編譯的較早。

o 它的功能是 W32.Mumu.B.Worm 當前版本的子集。

建議所有用戶和管理員遵循以下基本安全“最佳實踐”：

* 禁用並刪除不需要的服務。 默認情況下，許多作業系統會安裝不必要的輔助服務，如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程式更新即可完成。

* 如果混合型威脅攻擊了一個或多個網路服務，則在套用補丁程式之前，請禁用或禁止訪問這些服務。

* 始終安裝最新的補丁程式，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公布的安全更新，也要及時套用。

* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。

* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件，這些檔案常用於傳播病毒。

* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。

* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式，那么訪問受感染的網站也會造成病毒感染。

使用 W32.Mumu.B.Worm 防毒工具進行防毒

Symantec 安全回響中心已經創建了用來殺除 的工具。這是消除此威脅的最簡便方法。

作為使用該防毒工具的替代方法，您可以手動消除此威脅。

以下指導適用於所有當前和最新的 Symantec 防病毒產品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。

1. 禁用系統還原（Windows Me/XP）。

2. 找到並終止程式 Mumu.exe 和 Last.exe。

3. 更新病毒定義。

4. 運行完整的系統掃描，並刪除所有被檢測為 W32.Mumu.B.Worm、Hacktool.Hacline 或 Trojan.Mumuboy 的檔案。

5. 刪除添加到註冊表的值。

有關每個步驟的詳細信息，請閱讀以下指導。

如果您運行的是 Windows Me 或 Windows XP，建議您暫時關閉“系統還原”。此功能默認情況下是啟用的，一旦計算機中的檔案被破壞，Windows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機，則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。

Windows 禁止包括防病毒程式在內的外部程式修改系統還原。因此，防病毒程式或工具無法刪除 System Restore 資料夾中的威脅。這樣，系統還原就可能將受感染檔案還原到計算機上，即使您已經清除了所有其他位置的受感染檔案。

此外，病毒掃描可能還會檢測到 System Restore 資料夾中的威脅，即使您已將該威脅刪除。

有關如何關閉系統還原功能的指導，請參閱 Windows 文檔或下列文章之一：

o 如何禁用或啟用 Windows XP 系統還原

o 如何禁用或啟用 Windows Me 系統還原

有關詳細信息以及禁用 Windows Me 系統還原的其他方法，請參閱 Microsoft 知識庫文章：病毒防護工具無法清除 _Restore 資料夾中受感染的檔案，文章 ID：CH263455。

1. 按一次 Ctrl+Alt+Delete。

2. 單擊“任務管理器”。

3. 單擊“進程”選項卡。

4. 雙擊“映像名稱”列標題，按字母順序對進程排序。

5. 滾動列表並查找 Winssk32.exe。

6. 如果找到該檔案，則單擊此檔案，然後單擊“結束進程”。

7. 退出“任務管理器”。

Symantec 在將病毒定義發布到伺服器之前，會對所有病毒定義進行徹底測試，以確保其質量。可使用以下兩種方法獲取最新的病毒定義：

* 運行 LiveUpdate（這是獲取病毒定義的最簡便方法）：這些病毒定義被每周一次（通常在星期三）發布到 LiveUpdate 伺服器上，除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義，請參考病毒定義 (LiveUpdate)。

* 使用智慧型更新程式下載病毒定義：智慧型更新程式病毒定義會在工作日（美國時間，星期一至星期五）發布。應該從 Symantec 安全回響中心網站下載病毒定義並手動進行安裝。要確定是否可通過智慧型更新程式獲取此威脅的定義，請參考病毒定義（智慧型更新程式）。

現在提供智慧型更新程式病毒定義：有關詳細說明，請參閱如何使用智慧型更新程式更新病毒定義檔案。

1. 啟動 Symantec 防病毒程式，並確保已將其配置為掃描所有檔案。

* Norton AntiVirus 單機版產品：請閱讀文檔：如何配置 Norton AntiVirus 以掃描所有檔案。

* 賽門鐵克企業版防病毒產品：請閱讀 如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案。

2. 運行完整的系統掃描。

3. 如果有任何檔案被檢測為感染了

5. 刪除對註冊表所做的更改

警告：強烈建議在進行任何更改前先備份註冊表。錯誤地更改註冊表可能導致數據永久丟失或檔案損壞。應只修改指定的鍵。有關指導，請參閱文檔：如何備份 Windows 註冊表

1. 單擊“開始”，然後單擊“運行”。（將出現“運行”對話框。）

2. 輸入 regedit 然後單擊“確定”。（將打開註冊表編輯器。）

3. 導航至以下鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4. 在右窗格中，刪除值：

Kernel

和

Folder Service