引:不久前,网上出现了MSN“性感鸡”病毒,通过微软MSN传染他人。作为MSN用户,你应该知道现在已经有了这种病毒,在平时使用MSN时就要注意防范啦!假如你收到陌生人发来的.PIF(或.scr)文件,千万不要打开它!“性感鸡”病毒对MSN用户是个很大的威胁,其传播速度也非常快,绝不亚于“冲击波”、“震荡波”病毒。
病毒小资料
病毒名:MSN性感鸡 江民(I-Worm/MSN.DropBot.b)/金山(Worm.MSNLoveme.b)
病毒类型:蠕虫
病毒大小:188928字节,124416字节
传播方式:网络
危害程度:★★★
这是一个恶性MSN病毒,目前被命名为MSN性感烧鸡。一旦你感染了这种病毒,病毒就会在后台向你的所有MSN好友发送病毒文件,并且释放出“罗伯特”病毒的最新变种,使用户系统可被黑客完全控制,成为“僵尸电脑”,并能够通过多种系统漏洞和弱口令传播,感染能力极强。该病毒主要有以下特征:
一、自动发送带毒文件
如果你在MSN上收到一个文件(文件名清单如下所示,文件类型为指向DOS的程序),只要你打开该文件,就会自动感染此病毒。于是会出现死机的现象,病毒将向你的所有在线MSN好友,发送带毒文件,可能的文件名清单如下:
LOL.scr
Webcam.pif
bedroom-thongs.pif
naked_drunk.pif
LMAO.pif
ROFL.pif
underware.pif
Hot.pif
new_webcam.pif
然后病毒将在你的系统目录下,释放msnus.exe、winhost.exe这两个文件,其中msnus.exe 为病毒自身,后者为“罗伯特”病毒的最新变种Backdoor/RBot.zj病毒(金山称为Win32.Hack.Rbot)。
二、显示“性感鸡”图片
接下来,病毒将在系统盘根目录下,释放一张小鸡图片(名为sexy.jpg),并用IE打开显示该图片(右图1);在系统盘根目录下,释放以上“文件名清单”中的9个文件。
三、释放“罗伯特”病毒最新变种winhost.exe
最后,病毒能使中文系统受到很大感染,并会释放一个利用漏洞传播的黑客、蠕虫病毒──“罗伯特”病毒最新变种winhost.exe 。winhost.exe会通过微软的WebDav漏洞、冲击波漏洞、震荡波漏洞和管理员帐号弱口令等途径传播,并从IRC上接收黑客命令,使被感染计算机完全被黑客控制,成为“僵尸电脑”。
winhost.exe运行后,会将自身复制到%SystemDir%\winhost.exe(124416字节),并在注册表启动项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
中添加:"win32"="winhost.exe"
这样,系统每次启动时,都可自动运行该病毒。
清除病毒的方法
一、使用专门工具查杀
金山、瑞星很快都推出了“MSN性感鸡”病毒专杀工具,你可以在其网站上免费下载,然后利用这些工具进行查杀,下载地址如下:
瑞星MSN性感烤鸡专杀工具http://download.rising.com.cn/zsgj/ravmsn.exe
金山MSN性感烤鸡专杀工具(http://db.kingsoft.com/download/othertools/DubaTool_MSNFunny.EXE)
二、手工清除病毒的方法
如果你没有安装反病毒软件,也可以使用以下方法手工清除:首先应该断开网络,关闭MSN程序,以免将病毒发送给你的MSN好友;然后将感染机器的音量调到零。
1、WinNT/2000/XP
接下来,如果你的系统是WinNT/2000/XP,则可以按Ctrl+Alt+Delete调出任务管理器,在“进程”选项卡中找到以下4个进程:winhost.exe、winis.exe、msnus.exe、dnsserv.exe选择这些进程,按“结束进程”按钮,逐一结束它们;删除系统目录(2000/XP系统:\windows\system32或c:\winnt\system32)下的winhost.exe、winis.exe、dnsserv.exe、msnus.exe文件,以及C根目录下“C:\sexy.jpg”文件;接下来,单击“开始”/运行,输入regedit.exe打开注册表,在启动项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
中删除病毒启动项:"win32"="winhost.exe"
2、Win9x/me
如果你的系统是Win9x/me,有可能无法停止进程,你可以在系统启动时,进入安全模式操作,操作的项目与以上的WinNT/2000/XP类似。
三、及时安装升级杀毒软件
针对该病毒,国内各大反病毒厂商都及时升级了病毒库,只要广大用户立即更新到2月3日及以后的病毒库,打开实时监控功能,即可全面查杀该病毒。
1、金山毒霸
请将你的金山毒霸反病毒软件,及时升级到2月3日以后的版本。另外,金山毒霸新体验中最新的实时升级功能,可以保证将你的毒霸病毒库及时升级到最新版,所有毒霸新体验用户在联网状态下,病毒库将随时更新。如果你遇到相关问题,请致电010-82331816-2,专业反毒人员可为你解决问题。
2、KV2004/2005
只要你把KV2004/2005立即更新到2月3日及之后的病毒库,即可全面查杀该病毒。
3、瑞星杀毒软件
瑞星杀毒软件也进行了紧急升级,瑞星杀毒软件2005版17.12.21版即可彻底查杀此病毒,你应该升级到该版本。另外,你还可以随时拨打瑞星反病毒急救电话:010-82678800来寻求帮助。
预防措施
你可以安装带有“即时通讯监视”功能的杀毒软件,对这类病毒进行彻底防范。例如我们用江民杀毒软件KV2005,可以这样进行防范:
打开KV2005界面,把“实时监视”下面的“即时通讯监视”前面打上勾即可。以后你登陆MSN后,一旦收到病毒文件,KV2005就会立即报警。这样,所有通过即时通讯工具传播的病毒都会被实时过滤,真正实现聊天安全无忧!
此外,你在使用任何即时通讯工具接收文件时,一定要保持小心谨慎,不要轻易接受或运行来源不明的文件或程序,例如如陌生人发来的即时通讯消息框内的链接、好友发来的莫名其妙的文件等。由于该病毒要通过MSN发送文件,所以一旦你收到了MSN好友给你发来的那9个文件(参见上文提到的“文件名清单”),那么该文件就很可能是MSN“性感鸡”病毒,请你一定不要接受运行,立即点击“拒绝”。
|
