隨著即時(shí)通訊工具的強(qiáng)大,木馬病毒也加快了腳本,MSN早就成為了其通向第三方計(jì)算機(jī)感染跳越的平臺(tái)。在好友圈中,只要盜取一個(gè)MSN好友賬號(hào)或感染一臺(tái)用戶計(jì)算機(jī),病毒即會(huì)伸出罪惡之手,將會(huì)在用戶MSN聊天時(shí)發(fā)送病毒信息。
病毒分析
該病毒屬于MSN蠕蟲變種,被感染的計(jì)算機(jī)會(huì)自動(dòng)向MSN聯(lián)系人發(fā)送誘惑文字消息和帶毒壓縮包,當(dāng)對(duì)方接收并打開帶毒壓縮包中的病毒文件時(shí),系統(tǒng)即成為新的受害者,并因此嘗試感染另一臺(tái)計(jì)算機(jī)。病毒大小為434,176 字節(jié),通過MSN聊天工具進(jìn)行傳播。
被感染的計(jì)算機(jī),病毒首先會(huì)在系統(tǒng)目錄 %Windows%下生成含帶病毒源體的F0538_jpg.zip壓縮包,隨后病毒自身開始在計(jì)算機(jī)中的%Windows%目錄下創(chuàng)建副本chcp.exe 執(zhí)行文件,并在注冊(cè)表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
分支下建立"chcp.exe"="%Windows%\chcp.exe"自啟動(dòng)項(xiàng)目,然后病毒開始修改注冊(cè)分支
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
下的"SFCDisable"=dword:ffffff9d 和"SFCScan"=dword:00000000值,進(jìn)行關(guān)閉系統(tǒng)文件保護(hù),并且更改
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
分支下的 "WaitToKillServiceTimeout"=的值為"7000",達(dá)到更改自動(dòng)關(guān)閉進(jìn)程等待時(shí)間的效果。
完成上述后,病毒仍沒有安靜的等待,而是查找被感染的計(jì)算機(jī)中是否存在FTP目錄,如果有則將原正常程序改名為backup.ftp、backup.tftp并復(fù)制到%System%\microsoft目錄下,隨后在系統(tǒng)目錄%System%下寫入ftp.exe、tftp.exe、dllcache\tftp.exe、dllcache\ftp.exe可執(zhí)行程序,做完一系列的手腳,病毒開始向MSN聯(lián)系人發(fā)送誘惑型文字消息,并夾帶毒包F0538_jpg.zip欺騙用戶打開。
清除方法
中了此毒的用戶也不要緊張,在了解了生存原理后要想清除該病毒也非難事,只要按照以下幾個(gè)步驟實(shí)施即可將病毒清除出界,讓系統(tǒng)中的MSN正常運(yùn)行。
一、首先要進(jìn)入注冊(cè)表分支
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下,將"chcp.exe"="%Windows%\chcp.exe"自建的隨機(jī)啟動(dòng)項(xiàng)刪除,完成后重啟計(jì)算機(jī)。
二、進(jìn)入%Windows%\目錄下將病毒源體文件chcp.exe及F0538_jpg.zip壓縮包刪除。
三、將目錄%System%下的FTP破壞代替程序ftp.exe、tftp.exe、dllcache\tftp.exe、dllcache\ftp.exe刪除,并將%System%\microsoft目錄下的backup.ftp、backup.tftp改回到目錄%System%下。
四、刪除注冊(cè)表分支[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下的"SFCDisable"=dword:00000000鍵值,恢復(fù)系統(tǒng)文件保護(hù)。
五、最后將注冊(cè)表[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]分支下的"WaitToKillServiceTimeout"=改為"20000" 從而恢復(fù)系統(tǒng)自動(dòng)關(guān)閉進(jìn)程等待時(shí)間的默認(rèn)配置。
筆者按:在MSN病毒中變體有很多種如:MSN機(jī)器人、MSN小丑、MSN性感相冊(cè)等,其原理都是利用MSN作為平臺(tái)在同聊友溝通的同時(shí)發(fā)送病毒信息,通過MSN好友關(guān)系欺騙用戶點(diǎn)擊,然后再次傳播,從而形成強(qiáng)大的傳播途徑。為了更好的處理此類病毒,這里建議用戶加強(qiáng)計(jì)算機(jī)的先期保護(hù)如:開啟殺軟定時(shí)升庫,安裝安全類軟件,不定期打入系統(tǒng)補(bǔ)丁等,并且多了解每日病毒動(dòng)態(tài),即時(shí)作好防范工作即可,一但用戶被感染時(shí)應(yīng)立即作出回應(yīng),利用手工刪除或下載相應(yīng)的專殺工具進(jìn)行清理,以免讓更多的用戶成為受害者。