性感相册
中 文 名:性感相册
病毒名称:Worm/MSN.SendPhoto.a
病毒类型:蠕虫
危害等级:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描 述
MSN性感相册蠕虫病毒通过MSN疯狂传播。该病毒会自动搜索电脑中MSN的联系人名单,并随机发送带有诱惑性的英文消息,大意为“我的朋友给我拍了些好看的照片,你应该看看,看看我的性感书”,并试图传送名为“photos.zip”的压缩包。如果用户好奇地接收并解压文件,电脑就会出现死机等异常现象。
病毒运行特征:
病毒运行后,将创建下列文件:%WinDir%photos.zip, 479382字节
%SystemDir%syshosts.dll, 22016字节
在注册表中添加下列启动项:
Y_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
"syshosts" =
这样,在Windows启动时,病毒就可以自动执行。
其中syshosts.dll 文件会注入到当前所有进程中。
传播
该病毒运行时,会通过MSN即时聊天工具向MSN上的好友发送大小为479382 字节的photos.zip 病毒包,该压缩包里面包含名为photos album-2007-5-26.scr病毒文件,同时会随机向好友发送以下语句:
its only my photos!
Here are my private pictures for you
Here are my pictures from my vacation
My friend took nice photos of me.you Should see em loL!
Nice new photos of me and my friends and stuff and when i was young lol...
Nice new photos of me!! :p
Check out my sexy boobs :D
hey regarde mes tof!! :p
ma soeur a voulu que tu regarde ca!
hey regarde les tof, c'est moi et mes copains entrain de.... :D
j'ai fais pour toi ce photo album tu dois le voire :)
tu dois voire ces tof
mes photos chaudes :D
c'est seulement mes tof :p
zijn enige mijn foto's
wanna Hey ziet mijn nieuw fotoalbum?
indigde enkel nieuw fotoalbum! :)
hey keurt mijn nieuw fotoalbum goed.. :p
het voor yah, doend beeldverhaal van mijn leven lol..
en Fotos ! :p
le mie foto calde :p
mis fotos calientes
病毒以此来引诱用户点击,当用户接收该ZIP压缩包后,如果双击运行里面的文件,就会成为一个新的病毒传播源。中毒电脑将会连接远程的IRC服务器,接收黑客远程控制,成为僵尸网络。
建议
建议用户当遇到以上情况时,不要接收该文件。已中毒用户请将杀毒软件病毒库升级到最新版本,开启所有监控功能,并且全盘查杀即可彻底清除该病毒。没有安装杀毒软件的用户,可以下载江民MSN性感相册专杀工具对电脑进行全盘查杀。
反病毒专家说,“性感相册”十分隐蔽,会以类似“传销”的方式不断扩散。专家提醒网民立刻更新杀毒软件病毒库,不要轻易接收和运行MSN传来的不明文件,对名为“photos.zip”的压缩包更应格外当心。
这个病毒信息是动态的,因此每次显示都不一样,提醒用户注意不要接收MSN可疑文件。另据专家介绍,该病毒十分隐蔽,中毒电脑无异常表现,而病毒会在后台秘密向所有MSN联系人发送包含病毒的压缩包,解压后即会中毒。
清除方法:
1. 删除病毒在注册表中的启动项目
1) 点击“开始”菜单,选择运行。输入“regedit.exe”启动注册表编辑器。
2) 打开 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad项,找到名为“syshosts”一项,将其值记录下来
3)将syshosts项删除。
4) 打开注册表中的HKEY_CLASSES_ROOTCLSID项,找到刚刚记录下的项目,本例中为{8D4C2FB9-6DF1-46EA-B6A0-6403640115D6}。
5)重新启动计算机。
2. 删除文件
1) 打开“我的电脑”,选择菜单“工具”中“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。同时取消掉“隐藏已知类型文件的扩展名”前的对勾,然后点击“确定”。
2) 进入Windows文件夹(默认为C:Windows),找到名为“photos.zip”的文件,将其删除。
3) 进入系统文件夹(默认为C:Windowssystem32),找到名为“syshosts.dll”的文件,将其删除。
4) 再次重新启动计算机,查看这两个文件是否存在,若不存在,则说明病毒已经被清除干净。
专杀工具
王朝“MSN性感相册”蠕虫病毒专杀工具:
http://dl01.x.baidu.com/x/shadu/MSNPhotoKiller.exe
江民MSN“性感相册”蠕虫专杀工具下载地址:
http://download.jiangmin.info/jmsoft/MSNPhotoKiller.exe