互联网上发布了即时通讯病毒最新排行榜,QQ及MSN病毒几乎包揽了排行榜“十强”。在本文中,就将为你揭密疯狂的MSN病毒,让你找到最佳的MSN病毒解决方案。
一、 MSN骗子(又名MSN小丑)
病毒名称 I-Worm/MsnFunny
病毒中文名 MSN小丑
病毒类型 网络蠕虫
危险级别 ★★
影响平台 Win9X/2000/NT/Me/XP/2003
描述:2004年10月10日,“MSN”蠕虫病毒I-Worm/MsnFunnyMSN小丑(MSN骗子)爆发。该病毒会自动向用户的MSN好友发送消息和病毒程序,并把大量常用网站转向到某一网站地址。它可以通过QQ和MSN传播,向线上好友发送“FUNNY.EXE”文件,用户点击后就会中毒。病毒会屏蔽937个主流网站,可能造成Win98崩溃。并且,此病毒会利用MSN、QQ等疯狂发送信息,很有可能借以推广某网站。
具体技术特征如下:
1. 病毒运行后,将创建下列自身的复本:
%WinDir%\rundll32.exe, 56320字节
%SystemDir%\explorer.exe, 56320字节
%SystemDir%\iexplore.exe, 56320字节
%SystemDir%\userinit32.exe, 56320字节
2. 在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MMSystem" = %SystemDir%\mmsystem.dll"", rundll32
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = %SystemDir%\userinit32.exe,
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MMSystem" = %SystemDir%\mmsystem.dll"", rundll32
这样,在Windows启动时,病毒就可以自动执行。并把MSN强制设置为开机自动运行。
3.向用户的MSN在线好友发送下列信息,并会发送病毒程序:
一家新开的酒吧,晚上聚聚,这里有介绍 %url%,记得给我电话
朋友,多注意休息啊,可以到这里放松放松哦,%url%
我们也来俗一把如何,看MM去,%url%,够味!呵呵!
日本人在南京大×××的铁证!坚决抵制日货 %url%
对中国威胁最大的十个国家!列表 %url%
我见过最漂亮的视频MM (不看可别后悔), %url%
《中国农民调查》页页血泪,惊动中央 转自网易, %url%
4. 修改%SystemDir%\drivers\etc\hosts文件,把900多个常用网站重定向到222.89.98.***,目前该网站无法正常连接。
清除方法:使用正常系统中的文件来替换病毒文件,删除病毒体,清除注册表中的相关项。
二、msn性感鸡变种c
病毒名称 I-Worm/MSN.DropBot.c
病毒中文名 msn性感鸡变种c
病毒类型 网络蠕虫
危险级别 ★★★
影响平台 Win 9x/2000/NT/xp/Me/2003
描述:2005年2月7日,截获MSN性感鸡蠕虫病毒的最新变种I-Worm/MSN.DropBot.c,它可以释放出“罗伯特”后门病毒的最新变种Backdoor/RBot.zr。 “罗伯特”病毒家族及其近亲Backdoor/Agobot家族可以使用户系统可被***完全控制,成为“僵尸电脑”。并能够通过多种系统漏洞和弱口令传播,感染能力极强。2004年截获该类病毒近3000个变种。最新变种增加通过MSN传播的功能,感染性更胜以前。
病毒具体技术特征如下:
1.自动向用户所有MSN好友发送带毒文件,可能的文件名有:
Webcam.pif
bedroom-things.pif
naked_drunk.pif
my_pussy.pif
ROFL.pif
underware.pif
Hot.pif
文件大小261K。
2.中毒后显示一张穿着裸露的美女图片。
3. 释放“罗伯特”病毒最新变种程序updates.exe。updates.exe运行后,会将自身复制到%SystemDir%\updates.exe(114688字节),并在注册表启动项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
中添加: "xpupdate" = "updates.exe" 这样,系统每次启动时,病毒都可以自动运行。
4. 和以前变种类似,病毒程序updates.exe会通过微软的WebDav漏洞、冲击波漏洞、震荡波漏洞和管理员帐号弱口令等途径传播。并从IRC上接收***命令,使被感染计算机完全被***控制,成为“僵尸电脑”。
清除方法:使用正常系统中的文件来替换病毒文件,删除病毒体,清除注册表中的相关项。
三、MSN鬼脸
病毒名称 Exploit.MSN.Atmaca
病毒中文名 “MSN鬼脸”
病毒类型 漏洞利用工具
危险级别 ★★
影响平台 Win 9x/2000/XP/NT/Me/2003
描述:Exploit.MSN.Atmaca“MSN鬼脸”该工具利用微软漏洞(MS05-009)即MSN Messenger在处理PNG图片时存在缓冲区溢出的漏洞,制造出PNG格式的病毒图片。***可以通过将该病毒图片放入自定义头像中使与其聊天的用户被病毒感染。被感染的用户会自动连接某个带有恶意程序的网站,并将恶意程序下载到本地执行。
解决方案:
1、请及时升级杀毒软件,并开启各项监视及隐私保护程序,防止病毒及***程序进入系统盗取机密信息。
2、输入密码帐号可以利用软件盘以及错位密码输入法,防止***通过记录键击盗取玩家帐号密码。
四、“MSN饽饽”变种g
病毒名称 I-Worm/Bropia.g
病毒中文名 “MSN饽饽”变种g
病毒类型 网络蠕虫
危险级别 ★★
影响平台 Win 9x/2000/XP/NT/Me/2003
描述:I-Worm/Bropia.g“MSN饽饽”g变种是一个利用即时通讯工具MSN传播的网络蠕虫。“MSN饽饽”变种g运行后,自我复制到系统目录下,文件名是msmsgr.exe。在系统目录下生成另一病毒文件并执行该文件。修改注册表,实现开机自启。破坏系统恢复功能,终止任务管理器和注册表编辑器的进程。定时将指定站点输入到MSN即时消息窗口。只要用户点击该链接,马上连接***指定网站,下载病毒文件,感染用户计算机。
解决方案:
1、请及时升级杀毒软件,开启各项监控,防止冲击波、震荡波等恶性病毒***用户计算机。
2、不要轻易点击即时通讯工具中给出的链接,克服一定的好奇心,以免中毒。
3、 没有安装杀毒软件或是没有及时进行升级的用户,切勿随意点击MSN中给出的链接,确认消息来源,并克服一定的好奇心理。
五、MSN好快
病毒名称 I-Worm/MSN.Sofast
病毒中文名 “MSN好快”
病毒类型 网络蠕虫
危险级别 ★★★
影响平台 Win 9x/2000/XP/NT/Me/2003
该病毒英文名称为“SOFAST”,用户在接收了在线好友发过来的后缀名为.pif的文件并点击后,机器会变得运行缓慢,同时还会向其他好友不断发送同一病毒。该病毒运行后,将会在系统目录下建立多达18种病毒文件。修改注册表使自己使WINDOWS启动时一起运行。病毒还会屏蔽多数国外杀毒厂商的网站,使得电脑用户染毒后无法登陆。同时,病毒会结束多种杀毒软件和防火墙进程,禁止注册表编辑器和任务管理器运行。通过复制到共享文件夹和P2P软件共享文件夹传播,可能的文件名为Messenger Plus!3.50.exe.病毒发作后,还会打开网页c:\crazy-frog. html,并连接到一名为hxxp:// frog.0catch.com/的网站。
描述:2005年3月7日,截获一个通过MSN和P2P软件快速传播的蠕虫病毒I-Worm/MSN.Sofast。
1. 通过MSN向用户好友发送病毒文件,可能的文件名如下:
MSLARISSA.pif
CmdPrompt32.pif
SP00Lsv32.pif
LOVE_LETTER_FOR_YOU.pif
WinVBS.vbs
MESSAGE_TO_BROPIA.txt
Hey LARISSA fuck off, you fucking n00b!.. Bla bla to your fucking
Crazy frog gets killed by train!.pif
Annoying crazy frog getting killed.pif
See my lesbian friends.pif
LOL that ur pic!.pif
My new photo!.pif
Me on holiday!.pif
The Cat And The Fan piccy.pif
How a Blonde Eats a Banana...pif
Mona Lisa Wants Her Smile Back.pif
Topless in Mini Skirt! lol.pif
Fat Elvis! lol.pif
2. 病毒运行后,将创建下列文件:
%SystemDir%\serbw.exe, 17429字节
%SystemDir%\formatsys.exe, 17429字节
%WinDir%\msmbw.exe, 17429字节
c:\crazy-frog.html, 745字节
c:\lspt.exe, 17429字节
c:\crazy frog gets killed by train!.pif, 17429字节
c:\annoying crazy frog getting killed.pif, 17429字节
c:\see my lesbian friends.pif, 17429字节
c:\lol that ur pic!.pif, 17429字节
c:\my new photo!.pif, 17429字节
c:\me on holiday!.pif, 17429字节
c:\the cat and the fan piccy.pif, 17429字节
c:\how a blonde eats a banana...pif, 17429字节
c:\mona lisa wants her smile back.pif, 17429字节
c:\topless in mini skirt! lol.pif, 17429字节
c:\fat elvis! lol.pif, 17429字节
c:\jennifer lopez.scr, 17429字节
c:\message to n00b larissa.txt, 156字节
其中c:\message to n00b larissa.txt内容如下:
Hey LARISSA fuck off, you fucking n00b!.. Bla bla to your fucking
Saving the world from Bropia, the world n33ds saving from you! ’-S-K-Y-’-D-E-V-I-L-’
3. 在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"serpe" = %SystemDir%\serbw.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"serpe" = %SystemDir%\serbw.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"serpe" = %SystemDir%\serbw.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"serpe" = %SystemDir%\serbw.exe
这样,在Windows启动时,病毒就可以自动执行。
4. 修改%SystemDir%\drivers\etc\hosts文件,屏蔽多个反病毒网站:
64.233.167.104 www.symantec.com
64.233.167.104 www.sophos.com
64.233.167.104 www.mcafee.com
64.233.167.104 www.viruslist.com
64.233.167.104 www.f-secure.com
64.233.167.104 www.avp.com
64.233.167.104 www.kaspersky.com
64.233.167.104 www.networkassociates.com
64.233.167.104 www.ca.com
64.233.167.104 www.my-etrust.com
64.233.167.104 www.nai.com
64.233.167.104 www.trendmicro.com
64.233.167.104 www.grisoft.com
64.233.167.104 securityresponse.symantec.com
64.233.167.104 symantec.com
64.233.167.104 sophos.com
64.233.167.104 mcafee.com
64.233.167.104 liveupdate.symantecliveupdate.com
64.233.167.104 viruslist.com
64.233.167.104 f-secure.com
64.233.167.104 kaspersky.com
64.233.167.104 kaspersky-labs.com
64.233.167.104 avp.com
64.233.167.104 networkassociates.com
64.233.167.104 ca.com
64.233.167.104 mast.mcafee.com
64.233.167.104 my-etrust.com
64.233.167.104 download.mcafee.com
64.233.167.104 dispatch.mcafee.com
64.233.167.104 secure.nai.com
64.233.167.104 nai.com
64.233.167.104 update.symantec.com
64.233.167.104 updates.symantec.com
64.233.167.104 us.mcafee.com
64.233.167.104 liveupdate.symantec.com
64.233.167.104 customer.symantec.com
64.233.167.104 rads.mcafee.com
64.233.167.104 trendmicro.com
64.233.167.104 grisoft.com
64.233.167.104 sandbox.norman.no
64.233.167.104 www.pandasoftware.com
64.233.167.104 uk.trendmicro-europe.com
5. 结束多种杀毒软件和防火墙进程。
6. 禁止注册表编辑器和任务管理器运行。
7. 通过复制到共享文件夹和P2P软件共享文件夹传播,可能的文件名为Messenger Plus! 3.50.exe。
8. 打开网页c:\crazy-frog.html,连接http://frog.0catch.com/网站。
清除方法:使用正常系统中的文件来替换病毒文件,删除病毒体,清除注册表中的相关项;使用360等安全工具进行清理;清除HOSTS文件中的相关项,并将其屏蔽。
六、MSN性感相册
中 文 名:性感相册
病毒名称:Worm/MSN.SendPhoto.a
病毒类型:蠕虫
危害等级:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描述
MSN性感相册蠕虫病毒通过MSN疯狂传播。该病毒会自动搜索电脑中MSN的联系人名单,并随机发送带有诱惑性的英文消息,大意为“我的朋友给我拍了些好看的照片,你应该看看,看看我的性感书”,并试图传送名为“photos.zip”的压缩包。如果用户好奇地接收并解压文件,电脑就会出现死机等异常现象。
病毒运行特征:
病毒运行后,将创建下列文件:%WinDir%\photos.zip,479382字节
%SystemDir%\syshosts.dll, 22016字节
在注册表中添加下列启动项:
Y_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"syshosts" =
这样,在Windows启动时,病毒就可以自动执行。
其中syshosts.dll 文件会注入到当前所有进程中。
传播
该病毒运行时,会通过MSN即时聊天工具向MSN上的好友发送大小为479382 字节的photos.zip 病毒包,该压缩包里面包含名为photos album-2007-5-26.scr病毒文件,同时会随机向好友发送以下语句:
its only my photos!
Here are my private pictures for you
Here are my pictures from my vacation
My friend took nice photos of me.you Should see em loL!
Nice new photos of me and my friends and stuff and when i was young lol...
Nice new photos of me!! :p
Check out my sexy boobs :D
hey regarde mes tof!! :p
ma soeur a voulu que tu regarde ca!
hey regarde les tof, c'est moi et mes copains entrain de.... :D
j'ai fais pour toi ce photo album tu dois le voire :)
tu dois voire ces tof
mes photos chaudes :D
c'est seulement mes tof :p
zijn enige mijn foto's
wanna Hey ziet mijn nieuw fotoalbum?
indigde enkel nieuw fotoalbum!
hey keurt mijn nieuw fotoalbum goed.. :p
het voor yah, doend beeldverhaal van mijn leven lol
en Fotos ! :p
le mie foto calde :p
mis fotos calientes
病毒以此来引诱用户点击,当用户接收该ZIP压缩包后,如果双击运行里面的文件,就会成为一个新的病毒传播源。中毒电脑将会连接远程的IRC服务器,接收***远程控制,成为僵尸网络。
建议
建议用户当遇到以上情况时,不要接收该文件。已中毒用户请将杀毒软件病毒库升级到最新版本,开启所有监控功能,并且全盘查杀即可彻底清除该病毒。没有安装杀毒软件的用户,可以下载江民MSN性感相册专杀工具对电脑进行全盘查杀。
“性感相册”十分隐蔽,会以类似“传销”的方式不断扩散。专家提醒网民立刻更新杀毒软件病毒库,不要轻易接收和运行MSN传来的不明文件,对名为“photos.zip”的压缩包更应格外当心。
这个病毒信息是动态的,因此每次显示都不一样,提醒用户注意不要接收MSN可疑文件。另据专家介绍,该病毒十分隐蔽,中毒电脑无异常表现,而病毒会在后台秘密向所有MSN联系人发送包含病毒的压缩包,解压后即会中毒。
清除方法:
1、删除病毒在注册表中的启动项目
1) 点击“开始”菜单,选择运行。输入“regedit.exe”启动注册表编辑器。
2) 打开 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad项,找到名为“syshosts”一项,将其值记录下来
3)将syshosts项删除。
4) 打开注册表中的HKEY_CLASSES_ROOT\CLSID项,找到刚刚记录下的项目,本例中为。
5)重新启动计算机。
2. 删除文件
1) 打开“我的电脑”,选择菜单“工具”中“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。同时取消掉“隐藏已知类型文件的扩展名”前的对勾,然后点击“确定”。
2) 进入Windows文件夹(默认为C:\Windows),找到名为“photos.zip”的文件,将其删除。
3) 进入系统文件夹(默认为C:\Windows\system32),找到名为“syshosts.dll”的文件,将其删除。
4) 再次重新启动计算机,查看这两个文件是否存在,若不存在,则说明病毒已经被清除干净。
专杀工具
百度“MSN性感相册”蠕虫病毒专杀工具:
http://dl01.x.baidu.com/x/shadu/MSNPhotoKiller.exe
江民MSN“性感相册”蠕虫专杀工具下载地址:
http://download.jiangmin.info/jmsoft/MSNPhotoKiller.exe
转载于:https://blog.51cto.com/xingyi/153378
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
