MSN騙子病毒詳細技術分析(轉)

MSN騙子病毒詳細技術分析(轉)[@more@]

　　10月10日，瑞星全球反病毒監測網截獲了一個傳播速度極快的蠕蟲病毒，它可以透過QQ和MSN傳播，向線上好友傳送“FUNNY.EXE”檔案，使用者點選後就會中毒。病毒會遮蔽937個主流網站，可能造成Win98崩潰。並且，此病毒會利用MSN、QQ等瘋狂傳送資訊，很有可能借以推廣某網站。

　　

　　瑞星反病毒專家提醒說，當使用者收到QQ、MSN好友發來的可疑檔案時，一定要先用最新版本的防毒軟體進行防毒，版本16.47.30以上的瑞星軟體可以徹底清除此病毒。此外，瑞星還發布了免費的“MSN騙子”病毒專殺工具，及“QQ病毒”的專殺工具。

　　

　　一、病毒評估

　　1．病毒中文名：MSN騙子

　　2．病毒英文名：Worm.MSN.funny

　　3．病毒型別：蠕蟲病毒

　　4．病毒危險等級：★★★★

　　5．病毒傳播途徑：QQ/MSN 即時通訊工具

　　6．病毒依賴系統：Windows 9X/NT/2000/XP

　　

　　二、病毒的破壞

　　1．在Windows 2000/XP系統下，病毒會修改系統檔案HOSTS，遮蔽937個網站，使使用者登陸這些網站時會轉向www.**78p.com，造成使用者無法正常上網瀏覽。

　　2．在Windows 98系統下，病毒會替換系統檔案Rundll32.exe，可能造成系統不能關機，進而崩潰。

　　3．利用MSN、QQ瘋狂傳送廣告資訊，誘騙使用者登陸www.**78p.com網站。

　　4．向MSN、QQ好友傳送“FUNNY.EXE”檔案，傳播自身。

　　

　　三、技術分析

　　1．該病毒使用Visual Basic語言編寫，用ASPack2.12加過殼。

　　2．執行後，病毒會把自己複製到WINDOWS目錄下，病毒檔名為“Rundll32.exe”，再將自己複製幾份到系統目錄下，檔名分別為IEXPLORER.EXE，explorer.exe。

　　3．修改登錄檔實現隨機自啟動。

　　4．病毒執行之後，幾個程式會同時執行，形成雙程式保護，在工作管理員裡很難結束。

　　5．向QQ、MSN好友傳送“一家新開的酒吧，晚上聚聚，這裡有介紹**78p.com,記得給我電話”，“朋友，多注意休息啊，可以到這裡放鬆放鬆哦**78p.com”，“我們也來俗一把如何，看MM去，**78p.com，夠味！呵呵！”，“日本人在南京大屠殺的鐵證!堅決抵制日貨 **78p.com”，“對中國威脅最大的十個國家!列表**78p.com”，“我見過最漂亮的影片MM (不看可別後悔), **78p.com”，“《中國農民調查》頁頁血淚，驚動中央 轉自網易,**78p.com”。

　　6．向MSN、QQ好友傳送名為FUNNY.EXE的檔案，這就是病毒。

　　7．如果使用者使用WIN 2000/XP系統，病毒會修改HOSTS檔案，遮蔽937個主流網站，使使用者登陸這些網站時會自動轉向**78p.com。

　　8．如果使用者使用WIN 98系統，病毒會覆蓋系統檔案Rundll32.exe，可能導致系統異常。如果正在執行則不能正常關機，如果重啟的話不能進入桌面，所有操作都不能進行。