Win32.Xorala.2048、BAT.Muma、Win32.Hack.Hucline、Win32.Parite.a.6958,着急!

最近我机器总会出现此类病毒,我曾经先后用过诺顿、kv2004、金山毒霸,
前两个总是杀不干净,kv2004有些霸道,杀玩了后系统就崩溃了。
金山毒霸虽能杀干净,可是上网一段时间之后还会再出现。
我用的是2000,打了所有补丁。
玩联众、CS一段时间后就会有病毒,不知道怎么解决。
问题解决立即结贴!
---------------------------------------------------------------

Win32.Xorala.2048
http://www.zrar.com/gczj/files/kfzx/xorala.rar

病毒名称:Bat.muma

病毒类型:蠕虫

危害级别:中

传播速度:高

技术特征:

该病毒采用批处理命令编写,并携带端口扫描工具,通过暴力破解被攻击的计算机超级用户密码,进行疯狂传播。

病毒行为:

1。病毒可能复制以下文件到系统目录

10.bat

hack.bat

hfind.exe

ipc.bat

muma.bat

near.bat

ntservice.bat

ntservice.exe

NTService.ini

nwiz.exe

nwiz.in_

nwiz.ini

ipcpass.txt

tihuan.txt

rep.exe

psexec.exe

random.bat

replace.bat

ss.bat

start.bat

pcmsg.dll

2。病毒由Start.bat开始运行。这个批处理程序会调用其它批处理程序去完成传染;

3。病毒会搜索从C:到H:盘中\MU目录以及其了目录下的所有文件,并把文件名保存在LAN.LOG文件中。当被搜索的文件名中包含“MU”字符串时,nwiz.exe将被执行,nwiz.exe根据nwiz.ini和nwiz.in_文件对病毒中的字符串进行简单的加密。这个搜索过程完成后,LAN.LOG会被删除;

4。删除ipcfind.txt文件,调HFind.exe进行网络扫描,搜索网络中的计算机。并试图使用以下的密码去破解被攻击的计算机。可能的密码是:

password

passwd

admin

pass

123

1234

12345

123456

<密码为空>

5。被HFind.exe破解成功的计算机,会被病毒将上述的所有文件通过管理员文件共享方式拷贝到其系统目录下。对于Windows NT、Windows200系统是C:\winnt\system32目录,对于WindowsXP系统是C:\winnt\system32或C:\Windows\system32目录,对于Win9X是C:\windows\system目录;

6。传染成功后,病毒会用Psexec.exe程序远程启动被感染计算机上的Start.bat,从而使病毒在被感染的计算机上激活;

7。调用系统程序netstat.exe,然后运行Near.bat从netstat的输出信息中获得更多的IP,并对这些IP进行攻击;

8。ss.bat创建或者修改系统中的admin用户,并设置其它密码为:KKKKKKK。为被攻击计算机留下一个后门。

9。利用ntservice.bat调用ntservice.exe为自己注册一个名为"Application"的系统服务,保证自己能在每次系统重启时被激。

Published At
Categories with 服务器类
Tagged with
comments powered by Disqus