危害级别：中

传播速度：高

技术特征：

该病毒采用批处理命令编写，并携带端口扫描工具，通过暴力破解被攻击的计算机超级用户Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码，进行疯狂传播。

病毒行为：

1、病毒可能复制以下文件到系统目录

10.bat

hack.bat

hfind.exe

ipc.bat

muma.bat

near.bat

ntservice.bat

ntservice.exe

NTService.ini

nwiz.exe

nwiz.in_

nwiz.ini

ipcpass.txt

tihuan.txt

rep.exe

psexec.exe

random.bat

replace.bat

ss.bat

start.bat

pcmsg.dll

2、病毒由Start.bat开始运行。这个批处理程序会调用其它批处理程序去完成传染；

3、病毒会搜索从C：到H：盘中\\MU目录以及其了目录下的所有文件，并把文件名保存在LAN.LOG文件中。当被搜索的文件名中包含“MU”字符串时，nwiz.exe将被执行，nwiz.exe根据nwiz.ini和nwiz.in_文件对病毒中的字符串进行简单的加密。这个搜索过程完成后，LAN.LOG会被删除；

4、删除ipcfind.txt文件，调HFind.exe进行网络扫描，搜索网络中的计算机。并试图使用以下的密码去破解被攻击的计算机。可能的密码是：

password

passwd

admin

pass

123

1234

12345

123456

<密码为空>

5、被HFind.exe破解成功的计算机，会被病毒将上述的所有文件通过管理员文件共享方式拷贝到其系统目录下。对于Windows NT、Windows200系统是C:\\winnt\\system32目录,对于WindowsXP系统是C:\\winnt\\system32或C:\\Windows\\system32目录，对于Win9X是C:\\windows\\system目录；

6、传染成功后，病毒会用Psexec.exe程序远程启动被感染计算机上的Start.bat，从而使病毒在被感染的计算机上激活；

7、调用系统程序netstat.exe，然后运行Near.bat从netstat的输出信息中获得更多的IP，并对这些IP进行攻击；

8、ss.bat创建或者修改系统中的admin用户，并设置其它密码为：KKKKKKK。为被攻击计算机留下一个后门。

9、利用ntservice.bat调用ntservice.exe为自己注册一个名为"Application"的系统服务，保证自己能在每次系统重启时被激。