“MSN跳虫”原是木马 IE身上也贴小广告

    “MSN跳虫55808”（Win32.TrojDownloader.MSNBot.m.55808），这是一个通过MSN聊天工具进行传播的木马程序。病毒会从指定网址下载木马程序，并将下载的木马通过MSN来进行传播。它还具有自删除的功能。
 
    “IE小广告33280”（Win32.TrojDownloader.Zlob.33280），这是一个广告软件。该程序运行后，会添加名为“IE Anti-Spyware”的IE菜单项，并在未经允许的情况下更改用户的IE搜索引擎设置，把用户引导到木马作者指定的网站。
 
    一、“MSN跳虫55808”（Win32.TrojDownloader.MSNBot.m.55808）  威胁级别：★

    病毒进入系统后，在%WINDOWS%\system32\下释放出病毒文件rmbsvc.exe，同时还在%WINDOWS%\temp\目录下释放出一个随机命名的.exe病毒文件。然后，它修改注册表启动项，实现随系统自启动之目的。完成此步骤后，病毒就删除原始文件，避免被用户发现。

    病毒如果顺利运行起来，会检查与MSN相关的窗口信息，如果找到，它就悄悄建立远程连接，向p**l.hy**id*x.com这一由木马作者指定的服务器发送系统当前用户的信息，如用户名、系统版本号等。服务器受到中毒用户的信息后，会根据用户的系统配置，向病毒反馈下载指令信息。病毒根据此信息从http://www.n**au.dk/m**ia上获取一个下载列表，再按照下载列表的地址从http://www.st*die**oep**tselen.nl/co***onents/com_sef/cgi-bin/这个站点下载更多的病毒。

    新的病毒被下载后，首先会被暂存到%WINDOWS%\temp\目录，随后被打包进一个随机命名的.zip压缩包中。然后，病毒会向用户MSN好友名单中的好友发送这个含毒压缩包，以扩大自己的传染范围。
 
    二、“IE小广告33280”（Win32.TrojDownloader.Zlob.33280）  威胁级别：★

    病毒进入系统后，立即在病毒所在的目录生成生成isfmdl.dll和isfmm.exe，然后修改注册表，在里面添加名为“start”的启动项。这样，系统启动时，病毒就能跟着自动运行起来。

    病毒会注册为浏览器帮助插件，以便在系统启动或运行IE时自动加载isfmdl.dll，而为了迷惑用户，它伪装为名为“IE Anti-Spyware”的安全软件，还装模作样地在IE“工具”菜单中添加一个名为IE Anti-Spyware的菜单项。

    接着，病毒更改IE浏览器 默认的搜索引擎，将其设置为“http://www.s**rc***ghere.net/index.php?b=1&t=0&q=”这个由木马作者指定的地址，还把IE首页修改为另一个由木马作者指定的地址http:/**s40**age.com。只要用户打开IE，就会被自动引导到该网站，浏览广告信息，为该网站“贡献”流量。

    为防止用户删除，病毒会采取强行安装的流氓做法，它把自己加载到资源管理器中，并进行自保护，使得用户不容易删除它。