病毒名称:MSN相片(Worm.Mail.Photocheat.a)
病毒类型:蠕虫病毒
病毒危害级别:★★★☆
病毒分析:
这是一个通过MSN进行传播的蠕虫病毒,病毒行为如下:
1、病毒运行后创建自己的压缩包命名为PHOTOS.ZIP释放到%WINDIR%目录下,放出一名为syshosts.dll的动态库到%SYSTEM%目录下,将动态库蛀入系统多个线程中实现其传播的功能。
2、病毒会自动创建如下注册表项,实现自启动。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
"syshosts" = {1E3EF678-AFB7-4420-9CCF-3725505ACA10}
|
3、病毒会将生成的PHOTOS.ZIP通过MSN模拟键盘和鼠标操作发送给其他联系人,发送消息如下:
Here are my private pictures for you
Here are my pictures from my vacation
My friend took nice photos of me.you Should see em loL!
its only my photos!
Nice new photos of me and my friends and stuff and when i was young lol...
Nice new photos of me!! :p
Check out my sexy boobs :D
hey regarde mes tof!! :p
ma soeur a voulu que tu regarde ca!
hey regarde les tof, c'est moi et mes copains entrain de.... :D
j'ai fais pour toi ce photo album tu dois le voire :)
tu dois voire ces tof
mes photos chaudes :D
c'est seulement mes tof :p
zijn enige mijn foto's
wanna Hey ziet mijn nieuw fotoalbum?
indigde enkel nieuw fotoalbum! :)
hey keurt mijn nieuw fotoalbum goed.. :p
het voor yah, doend beeldverhaal van mijn leven lol..
en Fotos ! :p
le mie foto calde :p
mis fotos calientes
as :p
lbum de foto
|
4、病毒运行后将访问www.free8.bi的地址,以特定的昵称,登录到特定的IRC频道上,并在IRC聊天频道中散播消息。
手工清除方法
一、删除病毒在注册表中的启动项目
1、点击“开始”菜单,选择运行。输入“regedit.exe”启动注册表编辑器。
2、打开
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
|
项,找到名为“syshosts”一项,将其值记录下来。例如本机中该值为“{8D4C2FB9-6DF1-46EA-B6A0-6403640115D6}”。(见图一)
图一
3、将syshosts项删除。
4、打开注册表中的HKEY_CLASSES_ROOT\CLSID项,找到刚刚记录下的项目,本例中为{8D4C2FB9-6DF1-46EA-B6A0-6403640115D6}(见图二)。
图二
5、重新启动计算机。
二、删除病毒文件
1、打开“我的电脑”,选择菜单“工具”-》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。同时取消掉“隐藏已知类型文件的扩展名”前的对勾,然后点击“确定”。
2、进入Windows文件夹(默认为C:\Windows),找到名为“photos.zip”的文件,将其删除。如图三所示。
图三
3、进入系统文件夹(默认为C:\Windows\system32),找到名为“syshosts.dll”的文件,将其删除。
图四
4、再次重新启动计算机,查看这两个文件是否存在,若不存在,则说明病毒已经被清除干净。
该病毒手工清除需要具有一定的计算机操作水平,一般用户可直接升级杀毒软件至最新病毒库清除该病毒。(责任编辑:李磊)
紧急警报!“性感相册”病毒发带毒文件
MSN性感相册病毒专杀工具紧急同步推出
