病毒名称 I-Worm/MsnFunny
病毒中文名 MSN小丑
病毒类型 网络蠕虫
危险级别 ★★
影响平台 Win9X/2000/NT/Me/XP/2003
描述:2004年10月10日,“MSN”蠕虫病毒I-Worm/MsnFunnyMSN小丑(MSN骗子)爆发。该病毒会自动向用户的MSN好友发送消息和病毒程序,并把大量常用网站转向到某一网站地址。它可以通过QQ和MSN传播,向线上好友发送“FUNNY.EXE”文件,用户点击后就会中毒。病毒会屏蔽937个主流网站,可能造成Win98崩溃。并且,此病毒会利用MSN、QQ等疯狂发送信息,很有可能借以推广某网站。
具体技术特征如下:
1. 病毒运行后,将创建下列自身的复本:
%WinDir%\rundll32.exe, 56320字节
%SystemDir%\explorer.exe, 56320字节
%SystemDir%\iexplore.exe, 56320字节
%SystemDir%\userinit32.exe, 56320字节
|
2. 在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MMSystem" = %SystemDir%\mmsystem.dll"", rundll32
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = %SystemDir%\userinit32.exe,
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MMSystem" = %SystemDir%\mmsystem.dll"", rundll32
|
这样,在Windows启动时,病毒就可以自动执行。并把MSN强制设置为开机自动运行。
3.向用户的MSN在线好友发送下列信息,并会发送病毒程序:
一家新开的酒吧,晚上聚聚,这里有介绍 %url%,记得给我电话
朋友,多注意休息啊,可以到这里放松放松哦,%url%
我们也来俗一把如何,看MM去,%url%,够味!呵呵!
日本人在南京大屠杀的铁证!坚决抵制日货 %url%
对中国威胁最大的十个国家!列表 %url%
我见过最漂亮的视频MM (不看可别后悔), %url%
《中国农民调查》页页血泪,惊动中央 转自网易, %url%
|
4. 修改%SystemDir%\drivers\etc\hosts文件,把900多个常用网站重定向到222.89.98.***,目前该网站无法正常连接。
