400-837-1915
025-83787582
栏目回收
我国出现利用MSN进行传播的病毒Worm_Funny.A 病毒名称: Worm_Funny.A 病毒别名: WORM_FUNNER.A [Trend] I-Worm/MsnFunny [江民] Worm.MSN.funny [瑞星] Worm.MSNFunny [金山] 病毒类型: 蠕虫 病毒大小:56,320 Bytes (压缩后); 312,832 Bytes (未压缩) 受影响系统: Win9x/WinMe/WinNT/Win2000/WinXP 病毒特性: 该病毒主要通过MSN进行传播,病毒会向中毒机器里的MSN中的联系人发送病毒文件,MSN联系人会收到一个名为FUNNY.EXE的应用程序,接收并点击它就会感染机器,并会生成病毒自身的一些复制文件。病毒还会修改系统的注册表,使得自身能够在系统启动时自动运行,还会屏蔽一些网站。 用户一定要了解该病毒的主要特征,在使用MSN聊天过程中遇到此类问题,千万不要接收打开发送来的应用程序或是网站,避免病毒的感染和进一步的传播。同时,该病毒会有可能出现一系列的变种,计算机用户要做好防范措施。 1、生成病毒文件: 病毒运行后,会在%System%目录下生成RUNDLL32.EXE文件及自身拷贝,分别为: EXPLORER.EXE 、 IEXPLORE.EXE 、 USERINIT32.EXE , 还有一个名为BSFIRST2.LOG的日志文件。 (其中,%System%在Windows 95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32) 另外,在Windows98和ME系统中,病毒会用自身拷贝覆盖原始的RUNDLL32.EXE文件。 2、修改注册表项: 病毒添加注册表项,使得自身能够在系统启动时自动运行,在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Run 下添加 MMSystem = "MMSystem" = %System%\mmsystem.dll"", rundll32" 在Windows 2000和XP系统中,病毒还会创建如下注册表项目: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下添加 Userinit = "userinit32.exe" 在Windows 98和ME系统中,病毒会修改SYSTEM.INI文件中的[boot]段落,具体如下: Shell = %System%\explorer.exe 3、通过MSN传播: 病毒会利用由病毒机器里的MSN向该用户的MSN联系人发送病毒文件。该病毒会先发送一条网站的广告消息,诱骗用户登录某网站。接着发来一个FUNNY.EXE应用程序,当用户不知情的情况下,运行了发送来的病毒副本,就会导致中毒。 4、屏蔽网站: 病毒会修改修改%System%\drivers\etc\hosts文件,把900多个常用网站重定向到某网站,目前该网站无法正常连接。 5、清除工具: 目前,趋势、江民、瑞星、金山公司已经上报解决方案,并对产品进行了升级,都可以有效的清除该病毒。 瑞星公司清除工具的下载地址: 下载
© 2023 版权所有:河海大学网络安全与信息化办公室 版权所有
地址:江苏省南京市西康路1号 反馈邮箱:xxzxzhb@hhu.edu.cn 苏ICP备12023610号 网站管理
河海大学微门户
河海大学移动办公
河海网信办微信公众号