病毒名称:
Worm.MSN.Funny
类别: 蠕虫
病毒资料:
破坏方法:
vb写的蠕虫,用ASPack2.12加过壳。能同时通过MSN传播和QQ(聊天模式)传播。
首次运行时弹出虚假出错框,实际上在背后运行。
修改TCP/IP配置文件,将937个网站地址屏蔽,其中包括很多浏览率很高的网站。导致用户登陆这些时都会转向主机222.89.98.219(www.78p.com),不能正常浏览网页。
将自己拷贝到windows目录下,文件名为Rundll32.exe,再将自己拷贝几份到系统目录下,文件名为IEXPLORER.EXE,explorer.exe。xp以前操作系统还有一个userinit32.exe文件。
修改注册表
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"MMSystem" : "c:\winnt\rundll32.exe
"c:\winnt\system32\mmsystem.dll"", RunDll32"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"MMSystem" : "c:\winnt\rundll32.exe
"c:\winnt\system32\mmsystem.dll"",RunDll32"
HKLM\Software\Microsoft\Windows CurrentVersion\RunOnce
"MMSystem" : "c:\winnt\rundll32.exe
"c:\winnt\system32\mmsystem.dll"", RunDll32"
HKCU\Software\Microsoft\Windows
\CurrentVersion\RunOnce
"MMSystem" : "c:\winnt\rundll32.exe
"c:\winnt\system32\mmsystem.dll"", RunDll32"
XP以前操作系统还会修改
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Userinit" :
"C:\WINNT\system32\userinit32.exe,"
这样病毒会随开机而启动。
几个进程同时运行,形成双进程保护,在任务管理器里很难结束。
对MSN在线好友发送以下信息:
一家新开的酒吧,晚上聚聚,这里有介绍 %url%,记得给我电话
朋友,多注意休息啊,可以到这里放松放松哦,%url%
我们也来俗一把如何,看MM去,%url%,够味!呵呵!
日本人在南京大屠杀的铁证!坚决抵制日货 %url%
对中国威胁最大的十个国家!列表 %url%
我见过最漂亮的视频MM (不看可别后悔), %url%
《中国农民调查》页页血泪,惊动中央 转自网易, %url%
%url%为http://www.78p.com等。
也会直接向好友发送病毒本身,文件名为funny.exe。
有可能把病毒当作图片发送过来,使用户放松警惕。
手工恢复TCP/IP配置文件方法如下:
9x系统,用记事本打开%windows%hosts.sam文件,将包含“222.89.98.219“的字符都删除。
NT/2k/XP系统,用记事本打开%windows%system32\drivers\etc\hosts文件,将包含“222.89.98.219“的字符都删除。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-10-10
