MSN/Sexy病毒分析及解决方案

　　病毒名称：MSN/Sexy(MSN烧鸡、MSNLove、IRCBot变种)

　　专杀工具下载地址：点击下载

　　* 传播路径：

　　通过MSN(MSN Messenger)传播. 被感染的系统通过打开MSN的对话框传播蠕虫自身文件，当用户下载文件并运行的时候被感染.

　　传播的附件名的扩展名为SCR, PIF等等. 文件大小是185kb(188,928 bytes).

　　附件名的例子如下：

　　- bedroom-thongs.pif
　　- LMAO.pif
　　- LOL.scr
　　- naked_drunk.pif
　　- ROFL.pif
　　- underware.pif 等

　　* 运行后症状：

　　蠕虫是由两个可执行文件来构成. 第一个是MSN蠕虫自身文件，是利用Visual Basic制作的.另一个是恶性IRCBot蠕虫，是利用 Visual C++制作的.

　　当用户运行附件的时候出现如下的图像.

　　在windows系统文件夹里生成如下文件.

　　注意: (WINDOW系统文件夹通常是WINDOW 95/98/ME是 C:\Windows\System, WINDOWNT/2000是 C:\WinNT\System32, WINDOW XP是C:\Windows\System32文件夹.)

　　- msnus.exe ( 188,928 bytes ) : 蠕虫自身文件,是可执行压缩文件，包含下一个文件.
　　- winhost.exe ( 124,426 bytes ) : IRCBot变种，

　　蠕虫每当运行时在C盘里保存蠕虫复本.

　　- LOL.scr
　　- Webcam.pif
　　- bedroom-thongs.pif
　　- naked_drunk.pif
　　- LMAO.pif
　　- ROFL.pif
　　- underware.pif
　　- Hot.pif
　　- webcam.pif

　　在注册表里添加如下值，当系统启动时自行运行.

　　HKEY_CURRENT_USER\
　　Software\
　　Microsoft\
　　OLE
　　win32 = winhost.exe

　　HKEY_LOCAL_MACHINE\
　　SOFTWARE\Microsoft\
　　Windows\
　　CurrentVersion\
　　Run
　　win32 = winhost.exe

　　HKEY_LOCAL_MACHINE\
　　SOFTWARE\
　　Microsoft\
　　Windows\
　　CurrentVersion\
　　RunServices
　　win32 = winhost.exe

　　恶性IRCBot蠕虫文件名为如下中任选，并确认是否存在相关文件.

　　- winhost.exe
　　- winis.exe
　　- dnsserv.exe
　　- cz.exe

　　运行中的winhost.exe文件，利用专杀工具可以查杀.

　　* 手动治疗法

　　按[Ctrl]+[Alt]+[Del]-> 运行Windows任务管理器 -> 选择要结束的进程 -> '结束进程(E)'

　　如下文件被保存在windows系统文件里.

　　- msnus.exe

　　- winhost.exe

　　* 变种资料

　　Win32/Bropia.worm.159744

　　* 手动清除法

　　没有装反病毒软件的客户.

　　(1) 在Windows任务管理器中强制结束相关进程

　　按[Ctrl]+[Alt]+[Del]-> 运行Windows任务管理器 -> 选择要结束的进程 -> '结束进程(E)'

　　(2) 在资源管理器上搜索相关文件并删除此文件

　　2月3日早晨，一个利用MSN滥发附件的病毒被盛世长捷公司截获，提醒广大东方卫士产品用户，以及所有其它防毒产品用户及时升级病毒引擎，在线用户不要随便接收朋友发送来的附件不明附件。

　　盛世长捷信息技术(北京)有限公司

　　东方卫士系列产品客服电话：010-82563397-810