andy33448
|
分享:
▼
x0
|
[资讯教学] 利用 MSN 传递 photos.zip 档案的病毒~解法
今天早上6点 突然收到朋友MSN传送档案 因为是朋友所以收档来看 后来发现是photos album-2007-5-26.scr档 放是上网查了一下是~病毒~ 后来用GOOGLE查了一下 查到以下资讯 详细的病毒分析如下: =============================================================== 病毒名称:Worm/MSN.SendPhoto.a 中文名:性感相册 病毒类型:蠕虫 危害等级:★★ 影响平台:Win9X/ME/NT/2000/XP/2003 病毒运行特征: 病毒运行后,将创建下列文件: %WinDir%\photos.zip,479382字节 %SystemDir%\syshosts.dll,22016字节 在注册表中添加下列启动项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \ShellServiceObjectDelayLoad] "syshosts"={71b1b601-4599-40ff-a283-73fc3c7de863} 这样,在Windows启动时,病毒就可以自动执行。 其中syshosts.dll文件会注入到当前所有进程中。 该病毒运行时,会通过MSN即时聊天工具向MSN上的好友发送大小为479382字节的photos.zip病毒包,该压缩包里面包含名为photosalbum-2007-5-26.scr病毒文件,同时会随机向好友发送语句 =============================================================== 即然是毒 只要没重开机就不会执行 于是我马上解毒 做了以下动作 : 拔掉网路线,防止再散播出去。 WIN键+R 跑出执行 在执行里输入regedit进入登录档 并用搜寻找查到的资讯 syshosts [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "syshosts"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" <- 将此机码删除,并记下 XX 编号 然后在用机码寻找一次 [HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32] <- 除删此机码,此 XX 与上一个机码编号相同 @="syshosts.dll" <--找到并删除 删除病毒档案 C:\Windows\photos.zip C:\Windows\System32\syshosts.dll
机码名称未必相同所以用X替代 接收到的病毒也有可能是PHOTOS.RAR 未解毒之前还会乱传一堆英文出去 解完之后 就什么事都没发生了
谜之声: 最恶心的讯息是传 I LOVE YOU 给一个男生~(我不是女的...囧)
|