我国出现利用MSN进行传播的病毒Worm_Funny.A

  病毒名称: Worm_Funny.A
  病毒别名: WORM_FUNNER.A [Trend]
  　　　　　I-Worm/MsnFunny [江民]
  　　　　　 Worm.MSN.funny [瑞星]
  　　　　　Worm.MSNFunny [金山]
  病毒类型: 蠕虫
  病毒大小：56,320 Bytes (压缩后);
  　　　　　312,832 Bytes (未压缩)
  受影响系统: Win9x/WinMe/WinNT/Win2000/WinXP

  病毒特性：

  　 该病毒主要通过MSN进行传播，病毒会向中毒机器里的MSN中的联系人发送病毒文件，MSN联系人会收到一个名为FUNNY.EXE的应用程序，接收并点击它就会感染机器，并会生成病毒自身的一些复制文件。病毒还会修改系统的注册表，使得自身能够在系统启动时自动运行，还会屏蔽一些网站。

  　 用户一定要了解该病毒的主要特征，在使用MSN聊天过程中遇到此类问题，千万不要接收打开发送来的应用程序或是网站，避免病毒的感染和进一步的传播。同时，该病毒会有可能出现一系列的变种，计算机用户要做好防范措施。

  1、生成病毒文件：

  　 病毒运行后,会在%System%目录下生成RUNDLL32.EXE文件及自身拷贝，分别为：
  EXPLORER.EXE 、
  IEXPLORE.EXE 、
  USERINIT32.EXE ，
  还有一个名为BSFIRST2.LOG的日志文件。
  （其中，%System%在Windows 95/98/Me 下为C:\Windows\System，在Windows NT/2000下为C:\Winnt\System32，在Windows XP下为 C:\Windows\System32）

  　 另外，在Windows98和ME系统中，病毒会用自身拷贝覆盖原始的RUNDLL32.EXE文件。

  2、修改注册表项：

  　 病毒添加注册表项，使得自身能够在系统启动时自动运行，在
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
  \Run 下添加
  MMSystem = "MMSystem" = %System%\mmsystem.dll"", rundll32"

  　 在Windows 2000和XP系统中，病毒还会创建如下注册表项目：
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下添加
  Userinit = "userinit32.exe"

  　 在Windows 98和ME系统中，病毒会修改SYSTEM.INI文件中的[boot]段落，具体如下:
  Shell = %System%\explorer.exe

  3、通过MSN传播：

  　　病毒会利用由病毒机器里的MSN向该用户的MSN联系人发送病毒文件。该病毒会先发送一条网站的广告消息，诱骗用户登录某网站。接着发来一个FUNNY.EXE应用程序，当用户不知情的情况下，运行了发送来的病毒副本，就会导致中毒。

  4、屏蔽网站：

  　　病毒会修改修改%System%\drivers\etc\hosts文件，把900多个常用网站重定向到某网站，目前该网站无法正常连接。

  5、清除工具：

  　 目前，趋势、江民、瑞星、金山公司已经上报解决方案，并对产品进行了升级，都可以有效的清除该病毒。

  瑞星公司清除工具的下载地址： 下载