e都市三维地图 台州:d盘replace这是个什么文件
来源:百度文库 编辑:神马品牌网 时间:2024/05/13 14:19:46
看来就是病毒,用杀毒软件杀一下,
以下是一些可能是病毒的相关资料:
迅猛蠕虫“姆玛”(Bat.muma)技术分析报告
-----------------------------------------------------------------------------
http://www.duba.net (2003-06-05 19:50) 文章来源: 金山毒霸安全资讯网
病毒名称:Bat.muma
病毒类型:蠕虫
危害级别:中
传播速度:高
技术特征:
该病毒采用批处理命令编写,并携带端口扫描工具,通过暴力破解被攻击的计算机超级用户密码,进行疯狂传播。
病毒行为:
1。病毒可能复制以下文件到系统目录
10.bat
hack.bat
hfind.exe
ipc.bat
muma.bat
near.bat
ntservice.bat
ntservice.exe
NTService.ini
nwiz.exe
nwiz.in_
nwiz.ini
ipcpass.txt
tihuan.txt
rep.exe
psexec.exe
random.bat
replace.bat
ss.bat
start.bat
pcmsg.dll
2。病毒由Start.bat开始运行。这个批处理程序会调用其它批处理程序去完成传
染;
3。病毒会搜索从C:到H:盘中\MU目录以及其子目录下的所有文件,并把文件名保
存在LAN.LOG文件中。当被搜索的文件名中包含“MU”字符串时,nwiz.exe将被执行,nw
iz.exe根据nwiz.ini和nwiz.in_文件对病毒中的字符串进行简单的加密。这个搜索过程
完成后,LAN.LOG会被删除;
4。删除ipcfind.txt文件,调HFind.exe进行网络扫描,搜索网络中的计算机。并
试图使用以下的密码去破解被攻击的计算机。可能的密码是:
password
passwd
admin
pass
123
1234
12345
123456
<密码为空>
5。被HFind.exe破解成功的计算机,会被病毒将上述的所有文件通过管理员文件共
享方式拷贝到其系统目录下。对于Windows NT、Windows200系统是C:\winnt\system32目
录,对于WindowsXP系统是C:\winnt\system32或C:\Windows\system32目录,对于Win9X是
C:\windows\system目录;
6。传染成功后,病毒会用Psexec.exe程序远程启动被感染计算机上的Start.bat,
从而使病毒在被感染的计算机上激活;
7。调用系统程序netstat.exe,然后运行Near.bat从netstat的输出信息中获得更
多的IP,并对这些IP进行攻击;
8。ss.bat创建或者修改系统中的admin用户,并设置其它密码为:KKKKKKK。为被
攻击计算机留下一个后门。
9。利用ntservice.bat调用ntservice.exe为自己注册一个名为"Application"的系
统服务,保证自己能在每次系统重启时被激活。