梦想之鹰的天空

天高任鸟飞......放飞....心情..........放飞.....梦想

日志

关于我

梦想之鹰

非淡泊无以明志非宁静无以致远

文章分类

完全解剖“MSN性感相册”及手工删除

2008-01-03 22:07:24| 分类：桌面应用 | 标签： |举报 |字号大中小订阅

下载LOFTER 我的照片书 |

圣诞节期间IM-Worm.Win32.Agent.aw(MSN圣诞节病毒)病毒正在大肆传播，计算机一旦被此病毒感染，就会自动向MSN上的联系人发送一些诱惑性语句以及一个名称为：ChristmasImg2007-12.zip病毒文件，好友一旦点击运行这个文件，计算机将会被感染。

　　这个病毒与之前的MSN性感相册病毒极为相似，他们都会在系统目录下生成相应的病毒文件，并且还会发送一些诱惑性的语句来达到引诱用户点击病毒文件的目的。

　　下面是此病毒分析报告：

　　病毒名称：IM-Worm.Win32.Agent.aw

　　病毒类型：蠕虫

　　危害等级：★★★

　　影响平台：Win9X/ME/NT/2000/XP/2003

　　病毒运行后将生成以下文件：

%WinDir%\ChristmasImg2007-12.zip 56022字节
　　ChristmasImg2007-12.zip里面的文件为Christmas-img2156.JPEG.scr 55872字节
　　%WinDir%\ msmsgrs.exe 55872字节

　　写入注册表启动项(达到开机自动启动的目的)：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Run\MsnLiveMessenger]

　　“MsnLiveMessenger”=msmsgrs.exe

　　此病毒启动后进程中会有msmsgrs.exe进程在运行。

　　在脱壳后的病毒文件中我们可以看到以下明文：

My Christmas photos :D
　　Christmas images! :D
　　xmas pictures!
　　Merry Christmas, my photos :D
　　Hey, see my Christmas Picture! :D

　　以上这些就是自动向好友发送的信息内容，在这些内容后面会再发送一个56022字节的ChristmasImg2007-12.zip压缩包，来达到引诱用户点击的目的。如果用户运行了此压缩包中的文件，就会成为一个传染源继续向其他人发送这样的信息。

　　被病毒感染的计算机还会连接211.115.112.76的81端口，接收远程的控制命令。

　　手动清除此病毒的方法：

　　1. 打开任务管理器，找到msmsgrs.exe进程并结束它。

　　2. 删除以下文件：

%WinDir%\ChristmasImg2007-12.zip
　　%WinDir%\ msmsgrs.exe

　　3. 删除注册表中的病毒启动项：

　　点击“开始”—“运行”,输入“regedit”后回车，然后顺序找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项，选中run项后就会在右边看到MsnLiveMessenger键值，选中此键值点击鼠标右键选择删除就可以了。

　　4.重启计算机，如果上述文件没有再次出现就表明病毒已经成功清除。

　　建议：卡巴斯基已经可以成功删除此病毒，如果您安装有卡巴斯基杀毒软件，请您将病毒库更新到最新然后进行全盘扫描即可。

　　针对MSN以及QQ这类即时聊天工具的病毒，它们通常使用的手法就是自动向联系人列表中的号码发送一些诱惑性的信息，同时附带病毒文件或病毒网址来引诱他人点击，这类文件或网址一般都会以照片，美图等富有诱惑性的文字来迷惑用户。它们利用联系人列表来大面积传播，使得它的传播速度非比寻常，并且此类病毒为了躲避杀毒软件的查杀，出现新变种的速度也非常快，让我们防不胜防。

　　预防此类病毒建议：

　　1. 建立良好的上网习惯，在使用MSN或QQ这类即时聊天工具时不要随意接收陌生人发送的文件，如果是好友传送的文件也要在接收后使用杀毒软件进行扫描，确认没有病毒后再打开。

　　2. 如果察觉到自己的MSN或QQ会自动向外发送一些非自己设置的信息，就预示着计算机可能已经感染病毒，可以自行查找一下可疑文件或尽快与杀毒软件公司的技术支持联系。

　　3. 在计算机上安装杀毒软件开启其实时监控功能并及时更新反病毒数据库，来达到预防新病毒的目的。

　　4. 经常升级系统补丁，我们可以定期去微软的网站下载最新的安全补丁，这对预防病毒是很有效的。

　　5. 加装防火墙软件，由于杀毒软件与防火墙软件在功能上是不一样的，很多网络病毒都是采用了黑客的方法来攻击计算机，所以最好加装防火墙软件来更好的保护您的计算机，您也可以选择安装杀毒软件与防火墙功能结合在一起的一款软件，比如卡巴斯基互联网安全套装。

　　6. 经常去一些专业的IT网站了解一下当前流行的病毒，以便中毒后可以采取相应的措施。

评论这张

转发至微博

阅读(359)| 评论(0)

历史上的今天

this.p={  m:2,
              b:2,
              loftPermalink:'',
              id:'fks_087068093081089071093083087095087086084068085082087069',
              blogTitle:'完全解剖“MSN性感相册”及手工删除',
              blogAbstract:'圣诞节期间IM-Worm.Win32.Agent.aw(MSN圣诞节病毒)病毒正在大肆传播，计算机一旦被此病毒感染，就会自动向MSN上的联系人发送一些诱惑性语句以及一个名称为：ChristmasImg2007-12.zip病毒文件，好友一旦点击运行这个文件，计算机将会被感染。\r\n<P\>　　这个病毒与之前的MSN性感相册病毒极为相似，他们都会在系统目录下生成相应的病毒文件，并且还会发送一些诱惑性的语句来达到引诱用户点击病毒文件的目的。</P\>\r\n<P\>　　<STRONG\>下面是此病毒分析报告</STRONG\>：</P\>\r\n<P\>　　病毒名称：IM-Worm.Win32.Agent.aw</P\>\r\n<P\>　　病毒类型：蠕虫</P\>\r\n<P\>　　危害等级：★★★</P\>\r\n<P\>　　影响平台：Win9X/ME/NT/2000/XP/2003</P\>\r\n<P\>　　病毒运行后将生成以下文件：</P\>',
              blogTag:'',
              blogUrl:'blog/static/3057141620080310724772',
              isPublished:1,
              istop:false,
              type:0,
              modifyTime:0,
              publishTime:1199369244772,
              permalink:'blog/static/3057141620080310724772',
              commentCount:0,
              mainCommentCount:0,
              recommendCount:0,
              bsrk:-100,
              publisherId:0,
              recomBlogHome:false,
              currentRecomBlog:false,
              attachmentsFileIds:[],
              vote:{},
              groupInfo:{},
              friendstatus:'none',
              followstatus:'unFollow',
              pubSucc:'',
              visitorProvince:'',
              visitorCity:'',
              visitorNewUser:false,
              postAddInfo:{},
              mset:'000',
              mcon:'',
              srk:-100,
              remindgoodnightblog:false,
              isBlackVisitor:false,
              isShowYodaoAd:false,
              hostIntro:'非淡泊无以明志 非宁静无以致远',
              hmcon:'1',
              selfRecomBlogCount:'0',
              lofter_single:'<iframe width="140" height="560" style="overflow:hidden;" src="http://www.lofter.com/mailEntry.do?blogad=1&blog" frameBorder="0"></iframe>'
            }

{list a as x}
    {if !!x}
    <div class="iblock nbw-fce nbw-f40">
      <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.visitorName}/">
      {if x.visitorName==visitor.userName}
      <img alt="${x.visitorNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.visitorName)}&r=${visitor.imageUpdateTime}"/>
      {else}
      <img alt="${x.visitorNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.visitorName)}"/>
      {/if}
      </a>
      <div class="cwd vname thide">
        {if x.moveFrom=='wap'}
          <a class="noul pnt" target="_blank" href="http://blog.163.com/services/wapblog.html?frompersonalbloghome"><span title="来自网易手机博客" class="iblock wapIcon"> </span></a>
        {elseif x.moveFrom=='iphone'}
          <a class="noul pnt" target="_blank"><span title="来自iPhone客户端" class="iblock iphoneIcon"> </span></a>
        {elseif x.moveFrom=='android'}
          <a class="noul pnt" target="_blank"><span title="来自Android客户端" class="iblock androidIcon"> </span></a>
        {elseif x.moveFrom=='mobile'}
          <a class="noul pnt" target="_blank" href="http://blog.163.com/services/emsblog.html?frompersonalbloghome"><span title="来自网易短信写博" class="iblock wapIcon"> </span></a>
        {/if}
        <a class="fc03 m2a"  target="_blank" hidefocus="true" href="http://blog.163.com/${x.visitorName}/">
          ${fn(x.visitorNickname,8)|escape}
        </a>
      </div>
    </div>
    {/if}
    {/list}

<#--最新日志，群博日志--> <#--推荐日志-->

<p class="fc06">推荐过这篇日志的人：</p>
    <div>
      {list a as x}
      {if !!x}
      <div class="iblock nbw-fce nbw-f40">
        <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.recommenderName}/">
        <img alt="${x.recommenderNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.recommenderName)}"/>
        </a>
        <div class="cwd thide">
          <a class="fc03 m2a" target="_blank" hidefocus="true" href="http://blog.163.com/${x.recommenderName}/">
            ${fn(x.recommenderNickname,6)|escape}
          </a>
        </div>
      </div>
      {/if}
      {/list}
    </div>
    {if !!b&&b.length>0}
    <p  class="fc06">他们还推荐了：</p>
    <ul>
    {list b as y}
      {if !!y}
        <li class="rrb"><span class="iblock">·</span><a class="fc03 m2a" target="_blank" href="http://blog.163.com/${y.recommendBlogPermalink}/?from=blog/static/3057141620080310724772">${y.recommendBlogTitle|escape}</a></li>
      {/if}
    {/list}
    </ul>
    {/if}

<#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇，下一篇--> <#-- 热度 -->

{list a as x}
    {if !!x}
    <div class="hotItem iblock nbw-fce nbw-f40">
      <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/">
      {if x.publisherUsername==visitor.userName}
      <img alt="${x.publisherNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.publisherUsername)}&r=${visitor.imageUpdateTime}"/>
      {else}
      <img alt="${x.publisherNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.publisherUsername)}"/>
      {/if}
      </a>
      <div class="cwd vname thide">
        <a class="fc03 m2a"  target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/">
          ${fn(x.publisherNickname,8)|escape}
        </a>
      </div>
      <a class="f-myLikeIcons hottype {if x.type==1} js-liketype{elseif x.type==2} js-reblogtype{elseif x.type==3} js-sharetype{else}{/if}" target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/"> </a>
    </div>
    {/if}
    {/list}

<#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->

页脚

我的照片书 - 手机博客 - 下载LOFTER APP - 订阅此博客

梦想之鹰的天空

导航

日志

完全解剖“MSN性感相册”及手工删除

历史上的今天

最近读者

热度

评论

页脚