这个病毒与之前的MSN性感相册病毒极为相似,他们都会在系统目录下生成相应的病毒文件,并且还会发送一些诱惑性的语句来达到引诱用户点击病毒文件的目的。
下面是此病毒分析报告:
病毒名称:IM-Worm.Win32.Agent.aw
病毒类型:蠕虫
危害等级:★★★
影响平台:Win9X/ME/NT/2000/XP/2003
病毒运行后将生成以下文件:
%WinDir%\ChristmasImg2007-12.zip 56022字节 ChristmasImg2007-12.zip里面的文件为Christmas-img2156.JPEG.scr 55872字节 %WinDir%\ msmsgrs.exe 55872字节 |
写入注册表启动项(达到开机自动启动的目的):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run\MsnLiveMessenger]
“MsnLiveMessenger”=msmsgrs.exe
此病毒启动后进程中会有msmsgrs.exe进程在运行。
在脱壳后的病毒文件中我们可以看到以下明文:
My Christmas photos :D Christmas images! :D xmas pictures! Merry Christmas, my photos :D Hey, see my Christmas Picture! :D |
以上这些就是自动向好友发送的信息内容,在这些内容后面会再发送一个56022字节的ChristmasImg2007-12.zip压缩包,来达到引诱用户点击的目的。如果用户运行了此压缩包中的文件,就会成为一个传染源继续向其他人发送这样的信息。
被病毒感染的计算机还会连接211.115.112.76的81端口,接收远程的控制命令。
手动清除此病毒的方法:
1. 打开任务管理器,找到msmsgrs.exe进程并结束它。
2. 删除以下文件:
%WinDir%\ChristmasImg2007-12.zip %WinDir%\ msmsgrs.exe |
3. 删除注册表中的病毒启动项:
点击“开始”—“运行”,输入“regedit”后回车,然后顺序找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项,选中run项后就会在右边看到MsnLiveMessenger键值,选中此键值点击鼠标右键选择删除就可以了。
4.重启计算机,如果上述文件没有再次出现就表明病毒已经成功清除。
建议:卡巴斯基已经可以成功删除此病毒,如果您安装有卡巴斯基杀毒软件,请您将病毒库更新到最新然后进行全盘扫描即可。
针对MSN以及QQ这类即时聊天工具的病毒,它们通常使用的手法就是自动向联系人列表中的号码发送一些诱惑性的信息,同时附带病毒文件或病毒网址来引诱他人点击,这类文件或网址一般都会以照片,美图等富有诱惑性的文字来迷惑用户。它们利用联系人列表来大面积传播,使得它的传播速度非比寻常,并且此类病毒为了躲避杀毒软件的查杀,出现新变种的速度也非常快,让我们防不胜防。
预防此类病毒建议:
1. 建立良好的上网习惯,在使用MSN或QQ这类即时聊天工具时不要随意接收陌生人发送的文件,如果是好友传送的文件也要在接收后使用杀毒软件进行扫描,确认没有病毒后再打开。
2. 如果察觉到自己的MSN或QQ会自动向外发送一些非自己设置的信息,就预示着计算机可能已经感染病毒,可以自行查找一下可疑文件或尽快与杀毒软件公司的技术支持联系。
3. 在计算机上安装杀毒软件开启其实时监控功能并及时更新反病毒数据库,来达到预防新病毒的目的。
4. 经常升级系统补丁,我们可以定期去微软的网站下载最新的安全补丁,这对预防病毒是很有效的。
5. 加装防火墙软件,由于杀毒软件与防火墙软件在功能上是不一样的,很多网络病毒都是采用了黑客的方法来攻击计算机,所以最好加装防火墙软件来更好的保护您的计算机,您也可以选择安装杀毒软件与防火墙功能结合在一起的一款软件,比如卡巴斯基互联网安全套装。
6. 经常去一些专业的IT网站了解一下当前流行的病毒,以便中毒后可以采取相应的措施。
评论