10.BAT
HACK.BAT
IPC.BAT
MUMA.BAT
NEAR.BAT
RANDOM.BAT
REPLACE.BAT
START.BAT

El gusano también puede contener los siguientes archivos:

A.LOG
HFIND.EXE
IPCPASS.TXT
NTSERVICE.BAT
NTSERVICE.EXE
NTSERVICE.INI
NWIZ_.EXE
NWIZ.IN_
PCMSG.DLL
SPACE.TXT
SS.BAT
TIHUAN.TXT

Una vez cargado, el archivo 10.BAT ejecuta al archivo HFIND.EXE, detectado como el troyano Troj/Hacline-A por algunos antivirus. Este troyano es utilizado para escanear direcciones IP de potenciales víctimas. El troyano utiliza el archivo IPCPASS.TXT, que contiene una lista de contraseñas utilizada para acceder a los recursos compartidos a los que intentará copiarse.

También ejecuta un troyano (detectado como "Troj/PcGhost" por algunos antivirus), capaz de capturar lo tecleado y robar contraseñas de la máquina infectada, además de intentar enviar esta información a una dirección de correo preconfigurada, a intervalos regulares.

Troj/PcGhost es usualmente asociado a una herramienta legítima de captura de lo tecleado (PCMSG.DLL).

Luego ejecuta a IPC.BAT en un bucle, propagando el archivo HACK.BAT por todas las computadoras detectadas. Este último BAT continúa la ejecución de los demás .BAT para propagar el gusano por todos los recursos compartidos (se copia en la carpeta System de cada computadora accedida). Para ello utiliza también los archivos NTSERVICE.BAT y NTSERVICE.EXE, y el resto de los componentes indicados.

El gusano copia también otros archivos que no contienen códigos maliciosos.

NWIZ.EXE (Utilidad de video llamada NView)
NWIZ.IN_ (Configuración de NView)
PSEXEC.EXE (Herramienta para acceso a redes)
REP.EXE (Utilidad para manejo de texto)
PCMSG.DLL (Utilidad legítima para almacenar lo tecleado)

Cuando el gusano copia todos sus archivos a través de los recursos compartidos usando la herramienta PSEXEC, ejecuta el archivo START.BAT en la computadora remota, lo que inicia el mismo proceso nuevamente.


Reparación manual

Ver más información aquí:

W32/Mumu.C. Se propaga a través de recursos compartidos
http://www.vsantivirus.com/mumu-c.htm


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

27/jun/03 - Alias: W32/Mumu.B, Win32/Mumu.B
27/jun/03 - Enlace a la descripción de W32/Mumu.C




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com