| 7月30日,江民科技反病毒中心陆续收到很多用户反映:MSN里的好友经常给自己发送消息,并且还会传来一个名为“photo_album37.zip”的压缩包,同时还会发送“KAN WO DE ZHAOPIAN :P” 等消息,引诱用户点击运行。
相关专题:疯狂传播 剖析最新病毒 “性感相册”
江民科技反病毒中心在第一时间截获了病毒样本,经过分析发现,这是最近非常流行的通过msn传播的蠕虫病毒MSN"性感相册"最新变种。值得注意的是,该病毒充分利用了社会工程学原理,向对方发送消息引诱对方接收病毒文件。与之前的“性感相册”病毒不同是其发送的消息已经从原来的英文、法文等演变成汉语拼音,这更容易使国内的用户产生迷惑,极易感染病毒。
MSN“性感相册”最新变种病毒技术分析如下:
病毒名称:Worm/MSN.SendPhoto.g
中 文 名:MSN"性感相册"变种g
病毒类型:蠕虫
危害等级:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
病毒运行特征:
病毒运行后,将创建下列文件:
%WinDir%\System32\libcintles3.dll, 26000字节
%WinDir%\System32\msn.exe, 116736字节
其中,msn.exe文件为病毒主体,加NTKrnl的壳,libcintles3.dll文件会注入到Explorer.exe系统进程中,以穿透防火墙,连接远程IRC服务器,接收黑客指令,使中毒电脑成为黑客手中的“肉鸡”。
在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"printers" = {50f08f6b-d84a-431e-971b-d1e7cfaf0ee6}
这样,在Windows启动时,病毒就可以自动执行。
该病毒会自动搜索msn上的好友,向对方发送album71.zip、photo_album37.zip、photo12.zip 等带毒压缩包,同时还利用社会工程学原理向对方发送汉语拼音消息引诱对方接收病毒文件:
KAN WO DE ZHAOPIAN :P
NI HE WO !!! .... QING KAN :P
kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI :(
JIESHOU WO DE ZHAO PIAN :o !!
YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :$ !!
ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI BIEREN !!
以上消息对应的汉语为:
看我的照片 :p
你和我 !!! .... 请看 :p
看巴丽茜尔顿进监狱后是多么憔悴 :(
接收我的照片 :o !!
一张我跟我朋友最好的照片 :$ !!
这是我的裸照 :o 请不要发给别人 !!
如果用户的安全意识较低,运行压缩包内的带毒文件,病毒就会通过msn的名单疯狂的传播病毒,用户的电脑也就会成为一个新的病毒传播源。
江民反病毒专家建议用户:
1.MSN用户不要轻易接受来历不明的文件,尤其是扩展名为*.exe,*.com,*.bat,*.scr,*.zip,*.rar 等格式的文件,遇到有人发来以上格式的文件请直接拒绝即可。
2.每天定时升级KV2007杀毒软件,并开启所有监控功能。
3.江民KV2007已经紧急升级了病毒库,kv用户及时升级杀毒软件即可有效地拦截此病毒。
4.没有安装KV2007杀毒软件的用户,可以免费下载江民MSN"性感相册"蠕虫专杀工具对该病毒进行查杀。 |
