我国出现利用MSN进行传播的病毒Worm_Funny.A

来源:发布时间:2004-10-12访问次数:340

       我国出现利用MSN进行传播的病毒Worm_Funny.A

  病毒名称: Worm_Funny.A
  病毒别名: WORM_FUNNER.A [Trend]
       I-Worm/MsnFunny [江民]
        Worm.MSN.funny [瑞星]
       Worm.MSNFunny [金山]
  病毒类型: 蠕虫
  病毒大小:56,320 Bytes (压缩后);
       312,832 Bytes (未压缩)
  受影响系统: Win9x/WinMe/WinNT/Win2000/WinXP

  病毒特性:

    该病毒主要通过MSN进行传播,病毒会向中毒机器里的MSN中的联系人发送病毒文件,MSN联系人会收到一个名为FUNNY.EXE的应用程序,接收并点击它就会感染机器,并会生成病毒自身的一些复制文件。病毒还会修改系统的注册表,使得自身能够在系统启动时自动运行,还会屏蔽一些网站。

    用户一定要了解该病毒的主要特征,在使用MSN聊天过程中遇到此类问题,千万不要接收打开发送来的应用程序或是网站,避免病毒的感染和进一步的传播。同时,该病毒会有可能出现一系列的变种,计算机用户要做好防范措施。

  1、生成病毒文件:

    病毒运行后,会在%System%目录下生成RUNDLL32.EXE文件及自身拷贝,分别为:
  EXPLORER.EXE 、
  IEXPLORE.EXE 、
  USERINIT32.EXE ,
  还有一个名为BSFIRST2.LOG的日志文件。
  (其中,%System%在Windows 95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)

    另外,在Windows98和ME系统中,病毒会用自身拷贝覆盖原始的RUNDLL32.EXE文件。

  2、修改注册表项:

    病毒添加注册表项,使得自身能够在系统启动时自动运行,在
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
  \Run 下添加
  MMSystem = "MMSystem" = %System%\mmsystem.dll"", rundll32"

    在Windows 2000和XP系统中,病毒还会创建如下注册表项目:
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下添加
  Userinit = "userinit32.exe"

    在Windows 98和ME系统中,病毒会修改SYSTEM.INI文件中的[boot]段落,具体如下:
  Shell = %System%\explorer.exe

  3、通过MSN传播:

    病毒会利用由病毒机器里的MSN向该用户的MSN联系人发送病毒文件。该病毒会先发送一条网站的广告消息,诱骗用户登录某网站。接着发来一个FUNNY.EXE应用程序,当用户不知情的情况下,运行了发送来的病毒副本,就会导致中毒。

  4、屏蔽网站:

    病毒会修改修改%System%\drivers\etc\hosts文件,把900多个常用网站重定向到某网站,目前该网站无法正常连接。

  5、清除工具:

    目前,趋势、江民、瑞星、金山公司已经上报解决方案,并对产品进行了升级,都可以有效的清除该病毒。

  瑞星公司清除工具的下载地址: 下载






分享:

© 2023 版权所有:河海大学网络安全与信息化办公室 版权所有

地址:江苏省南京市西康路1号 反馈邮箱:xxzxzhb@hhu.edu.cn 苏ICP备12023610号 网站管理

河海大学微门户

河海大学微门户

河海大学移动办公

河海大学移动办公

河海网信办微信公众号

河海网信办微信公众号