MSN/Sexy病毒分析及解决方案 | ||||||||
---|---|---|---|---|---|---|---|---|
http://www.sina.com.cn 2005年02月03日 11:34 新浪科技 | ||||||||
病毒名称:MSN/Sexy(MSN烧鸡、MSNLove、IRCBot变种) 专杀工具下载地址:点击下载 * 传播路径:
通过MSN(MSN Messenger)传播. 被感染的系统通过打开MSN的对话框传播蠕虫自身文件,当用户下载文件并运行的时候被感染. 传播的附件名的扩展名为SCR, PIF等等. 文件大小是185kb(188,928 bytes). 附件名的例子如下: - bedroom-thongs.pif * 运行后症状: 蠕虫是由两个可执行文件来构成. 第一个是MSN蠕虫自身文件,是利用Visual Basic制作的.另一个是恶性IRCBot蠕虫,是利用 Visual C++制作的. 当用户运行附件的时候出现如下的图像. 在windows系统文件夹里生成如下文件. 注意: (WINDOW系统文件夹通常是WINDOW 95/98/ME是 C:\Windows\System, WINDOWNT/2000是 C:\WinNT\System32, WINDOW XP是C:\Windows\System32文件夹.) - msnus.exe ( 188,928 bytes ) : 蠕虫自身文件,是可执行压缩文件,包含下一个文件. 蠕虫每当运行时在C盘里保存蠕虫复本. - LOL.scr 在注册表里添加如下值,当系统启动时自行运行. HKEY_CURRENT_USER\ HKEY_LOCAL_MACHINE\ HKEY_LOCAL_MACHINE\ 恶性IRCBot蠕虫文件名为如下中任选,并确认是否存在相关文件. - winhost.exe 运行中的winhost.exe文件,利用专杀工具可以查杀.
* 手动治疗法 按[Ctrl]+[Alt]+[Del]-> 运行Windows任务管理器 -> 选择要结束的进程 -> '结束进程(E)' 如下文件被保存在windows系统文件里. - msnus.exe - winhost.exe * 变种资料 Win32/Bropia.worm.159744 * 手动清除法 没有装反病毒软件的客户. (1) 在Windows任务管理器中强制结束相关进程 按[Ctrl]+[Alt]+[Del]-> 运行Windows任务管理器 -> 选择要结束的进程 -> '结束进程(E)' (2) 在资源管理器上搜索相关文件并删除此文件 2月3日早晨,一个利用MSN滥发附件的病毒被盛世长捷公司截获,提醒广大东方卫士产品用户,以及所有其它防毒产品用户及时升级病毒引擎,在线用户不要随便接收朋友发送来的附件不明附件。 盛世长捷信息技术(北京)有限公司 东方卫士系列产品客服电话:010-82563397-810 |