病毒名称:MSN相片(Worm.Mail.Photocheat.a)
病毒类型:蠕虫病毒
病毒危害级别:★★★☆
病毒分析:
这是一个通过MSN进行传播的蠕虫病毒,病毒行为如下:
1、病毒运行后创建自己的压缩包命名为PHOTOS.ZIP释放到%WINDIR%目录下,放出一名为syshosts.dll的动态库到%SYSTEM%目录下,将动态库蛀入系统多个线程中实现其传播的功能。
2、病毒会自动创建如下注册表项,实现自启动。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
"syshosts" = {1E3EF678-AFB7-4420-9CCF-3725505ACA10}
3、病毒会将生成的PHOTOS.ZIP通过MSN模拟键盘和鼠标操作发送给其他联系人,发送消息如下:
Here are my private pictures for you |
4、病毒运行后将访问www.free8.bi的地址,以特定的昵称,登录到特定的IRC频道上,并在IRC聊天频道中散播消息。
手工清除方法:
一、删除病毒在注册表中的启动项目
1、点击“开始”菜单,选择运行。输入“regedit.exe”启动注册表编辑器。
2、打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad项,找到名为“syshosts”一项,将其值记录下来。例如本机中该值为“{8D4C2FB9-6DF1-46EA-B6A0-6403640115D6}”。
3、将syshosts项删除。
4、打开注册表中的HKEY_CLASSES_ROOT\CLSID项,找到刚刚记录下的项目,本例中为{8D4C2FB9-6DF1-46EA-B6A0-6403640115D6}。
5、重新启动计算机。
二、删除病毒文件
1、打开“我的电脑”,选择菜单“工具”-》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。同时取消掉“隐藏已知类型文件的扩展名”前的对勾,然后点击“确定”。
2、进入Windows文件夹(默认为C:\Windows),找到名为“photos.zip”的文件,将其删除。如图三所示。
3、进入系统文件夹(默认为C:\Windows\system32),找到名为“syshosts.dll”的文件,将其删除。
4、再次重新启动计算机,查看这两个文件是否存在,若不存在,则说明病毒已经被清除干净。
瑞星提示:
该病毒手工清除需要具有一定的计算机操作水平,一般用户可直接升级瑞星杀毒软件2007至19.25.43版及更高版本清除该病毒。瑞星公司将密切关注该病毒的最新动向,防止其新变种传播。
江民MSN性感相册病毒专杀工具 下载
http://www.1024k.cn/Soft/2007/200707/192.html
本站提醒:病毒都是利用浏览器的漏洞进行传播,大家在上网的时候最好用Firefox浏览器浏览网页,这种浏览器最大的好处就是安全!而且大家做站的同仁也需要测试兼容性Firefox浏览器下载地址:http://firefox.1024k.cn/firefox.html
