andy33448
   
|
分享:
▼
x0
|
今天早上6点 突然收到朋友MSN传送档案
因为是朋友所以收档来看 后来发现是photos album-2007-5-26.scr档
放是上网查了一下是~病毒~
后来用GOOGLE查了一下
查到以下资讯
详细的病毒分析如下:
===============================================================
病毒名称:Worm/MSN.SendPhoto.a
中文名:性感相册
病毒类型:蠕虫
危害等级:★★
影响平台:Win9X/ME/NT/2000/XP/2003
病毒运行特征:
病毒运行后,将创建下列文件:
%WinDir%\photos.zip,479382字节
%SystemDir%\syshosts.dll,22016字节
在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\ShellServiceObjectDelayLoad]
"syshosts"={71b1b601-4599-40ff-a283-73fc3c7de863}
这样,在Windows启动时,病毒就可以自动执行。
其中syshosts.dll文件会注入到当前所有进程中。
该病毒运行时,会通过MSN即时聊天工具向MSN上的好友发送大小为479382字节的photos.zip病毒包,该压缩包里面包含名为photosalbum-2007-5-26.scr病毒文件,同时会随机向好友发送语句
===============================================================
即然是毒 只要没重开机就不会执行
于是我马上解毒 做了以下动作 :
拔掉网路线,防止再散播出去。
WIN键+R 跑出执行 在执行里输入regedit进入登录档
并用搜寻找查到的资讯 syshosts
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"syshosts"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" <- 将此机码删除,并记下 XX 编号
然后在用机码寻找一次
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32] <- 除删此机码,此 XX 与上一个机码编号相同
@="syshosts.dll" <--找到并删除
删除病毒档案
C:\Windows\photos.zip
C:\Windows\System32\syshosts.dll
机码名称未必相同所以用X替代
接收到的病毒也有可能是PHOTOS.RAR
未解毒之前还会乱传一堆英文出去
解完之后 就什么事都没发生了
谜之声: 最恶心的讯息是传 I LOVE YOU 给一个男生~(我不是女的...囧)
|
