Kiváncsi kínaiak – új Mumu féregvírus

A féreg paraméterei

Felfedezésének ideje: 2003. június 26.
Védekezés elkészültének ideje: 2003. június 26.
Veszélyeztetett operációs rendszerek: Windows NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x/9x/Me, Macintosh, Unix, Linux, OS/2
Mérete: 290.874 byte (mumu.exe), 30.208 byte (kavfind.exe), 20.408 byte (bboy.exe), 36.864 byte (bboy.dll)
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehoz két mutexet: Qjinfo1mutex, aQjinfo2mutex
– a következő állományokat másolja fel a System könyvtárba:
. kavfind.exe (30.208 byte – Trojan.Mumuboy)
. last.exe (20.480 byte – Hacktool.Hacline)
. Psexec.exe (36.352 byte – nem fertőző, távoli processindító alkalmazás)
. IPcpass.txt (510 byte – a Hacktool.Hacline által használt jelszóminták)
– elindítja a last.exe (Trojan.Mumuboy) állományt
– felmásolja magát a System könyvtárba mumu.exe néven
– megjelölvén a rendszerben való jelenlétét, létrehozza a következő Registry értéket: HKEY_LOCAL_MACHINE/SOFTWARE/mumu
– elindítja a Hacktool.Hacline-t, ami felméri a hálózati erőforrásokat és megkísérel csatlakozni minden lehetséges helyhez (ehhez a fent említett jelszó-állományt használja); amennyiben sikeres volt a kapcsolódás, azt rögzíti az IPfind.txt állományban
– a Hacktool.Hacline működésének befejeztével az IPfind.txt file-ban levő helyekre felcsatlakozik és felmásolja magát a System könyvtárakba; majd elindítja a távoli process-futtató eszközét
– elindítja a Trojan.Mumuboy-t, amely a következőket teszi:
. létrehozza a aQjaashyuhv1_0 mutexet, hogy biztos legyen benne, csak egyszer kerül futtatásra
. felmásolja magát a Windows könyvtárba bboy.exe néven
. létrehozza a Kernel=[Windows elérési útvonala]/bboy.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsban
. felmásolja a bboy.dll (36,864 byte) állományt a System könyvtárba; ez tulajdonképpen maga a Trojan.Mumuboy
. leütött billentyűket figyelő alkalmazást telepít, így akár jelszavak, login részletek birtokába is juthat (az elfogott információt a Qjinfo.ini állományban tárolja)
. ez utóbbi file-t e-mailen továbbítja a www.58589.com-on levő HTTP mail szerver révén
– a fenti e-mailezést két és fél percenként megismétli, egy kínai e-mailcímre küldve a megszerzett adatokat
– megkísérli magát regisztrálni a Folder Service=qjinfo.exe bejegyzés HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsba való rögzítésével