病毒名称： Bat.muma

　　病毒类型：蠕虫

　　危害级别：中

　　传播速度：高

　　技术特征：

该病毒采用批处理命令编写，并携带端口扫描工具，通过暴力破解被攻击的计算机超级用户密码，进行疯狂传播。

　　病毒行为：

1 、病毒可能复制以下文件到系统目录

10.bat

hack.bat

hfind.exe

ipc.bat

muma.bat

near.bat

ntservice.bat

ntservice.exe

NTService.ini

nwiz.exe

nwiz.in_

nwiz.ini

ipcpass.txt

tihuan.txt

rep.exe

psexec.exe

random.bat

replace.bat

ss.bat

start.bat

pcmsg.dll

2 、病毒由 Start.bat 开始运行。这个批处理程序会调用其它批处理程序去完成传染；

3 、病毒会搜索从 C ：到 H ：盘中 \MU 目录以及其了目录下的所有文件，并把文件名保存在 LAN.LOG 文件中。当被搜索的文件名中包含“ MU ”字符串时， nwiz.exe 将被执行， nwiz.exe 根据 nwiz.ini 和 nwiz.in_ 文件对病毒中的字符串进行简单的加密。这个搜索过程完成后， LAN.LOG 会被删除；

4 、删除 ipcfind.txt 文件，调 HFind.exe 进行网络扫描，搜索网络中的计算机。并试图使用以下的密码去破解被攻击的计算机。可能的密码是：

password

passwd

admin

pass

123

1234

12345

123456

< 密码为空 >

5 、被 HFind.exe 破解成功的计算机，会被病毒将上述的所有文件通过管理员文件共享方式拷贝到其系统目录下。对于 Windows NT 、 Windows200 系统是 C:\winnt\system32 目录 , 对于 WindowsXP 系统是 C:\winnt\system32 或 C:\Windows\system32 目录，对于 Win9X 是 C:\windows\system 目录；

6 、传染成功后，病毒会用 Psexec.exe 程序远程启动被感染计算机上的 Start.bat ，从而使病毒在被感染的计算机上激活；

7 、调用系统程序 netstat.exe ，然后运行 Near.bat 从 netstat 的输出信息中获得更多的 IP ，并对这些 IP 进行攻击；

8 、 ss.bat 创建或者修改系统中的 admin 用户，并设置其它密码为： KKKKKKK 。为被攻击计算机留下一个后门。

9 、利用 ntservice.bat 调用 ntservice.exe 为自己注册一个名为 "Application" 的系统服务，保证自己能在每次系统重启时被激。