Worm.MSNLoveme.i

Worm.MSNLoveme.i病毒為性感雞變種i,它通過MSN傳播,當用戶感染該病毒後,該病毒會修改hosts檔案,使眾多安全及反病毒公司網站地址重定位到BBC網站,有可能導致對BBC網站的DDos攻擊,且無法正常這些安全公司的網站;禁止運行一些系統程式(如:任務管理器,msconfig.exe等);禁止系統還原;禁止Windows資源管理器的"資料夾選項"等;關閉MSN接收檔案查毒選項,嚴重影響用戶的正常工作。

概述

病毒別名:
處理時間:2005-03-16
威脅級別:★★
中文名稱:性感雞變種i
病毒類型:蠕蟲
影響系統:Win9x / WinNT
病毒行為:

特性

該病毒為性感雞變種i,它通過MSN傳播,當用戶感染該病毒後,該病毒會修改hosts檔案,使眾多安全及反病毒公司網站地址重定位到BBC網站,有可能導致對BBC網站的DDos攻擊,且無法正常這些安全公司的網站;禁止運行一些系統程式(如:任務管理器,msconfig.exe等);禁止系統還原;禁止Windows資源管理器的"資料夾選項"等;關閉MSN接收檔案查毒選項,嚴重影響用戶的正常工作.
調用IE打開的html如下:
1.複製自身到系統目錄%System32%下:
csnss.exe
mcsv.com
2.複製自身到%SystemRoot%下:
svhost.exe
LARISSA you muppet.txt
3.在系統盤根目錄下創建以下檔案:
D:\l0ser.Html
D:\Death of crazy frog!.pif
D:\Hot babe!.pif
D:\Really Cute.pif
D:\My piccy.pif 24KB
D:\Bungee-Fuck.pif
D:\I_love_you.123greetings.com.com
D:\Paris Hilton Sex Tape.pif
D:\Shoot Bill Gates!.exe
D:\Best_Friend.scr
D:\lol Busted Are Gay!.pif
D:\Saddam Song!.pif
D:\Me at the Beach!.pif
4.修改註冊表使自身隨計算機啟而自動運行
NDAv = "%System32%\csnss.exe"
SDAv = "%System32%\mcsv.com.exe"
HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = "%System32%\userinit.exe,D:\WINNT\system32\mcsv.com"
5.在系統註冊表中添加(禁止系統還原):
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
DisableConfig = 00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
DisableSR = 00000001
6. 修改MSN接收檔案查毒選項
HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger
AVEnbl = 00000000
7.修改hosts檔案,使眾多安全及反病毒公司網站重定向到BBC網站,導致無法正常下列公司的網站:
212.58.240.33 www.symantec.com
212.58.240.33 www.sophos.com
212.58.240.33 www.mcafee.com
212.58.240.33 www.viruslist.com
212.58.240.33 www.f-secure.com
212.58.240.33 www.avp.com
212.58.240.33 www.kaspersky.com
212.58.240.33 www.networkassociates.com
212.58.240.33 www.ca.com
212.58.240.33 www.my-etrust.com
212.58.240.33 www.nai.com
212.58.240.33 www.trendmicro.com
212.58.240.33 www.grisoft.com
212.58.240.33 securityresponse.symantec.com
212.58.240.33 symantec.com
212.58.240.33 sophos.com
212.58.240.33 mcafee.com
212.58.240.33 liveupdate.symantecliveupdate.com
212.58.240.33 viruslist.com
212.58.240.33 f-secure.com
212.58.240.33 kaspersky.com
212.58.240.33 kaspersky-labs.com
212.58.240.33 avp.com
212.58.240.33 networkassociates.com
212.58.240.33 ca.com
212.58.240.33 mast.mcafee.com
212.58.240.33 my-etrust.com
212.58.240.33 download.mcafee.com
212.58.240.33 dispatch.mcafee.com
212.58.240.33 secure.nai.com
212.58.240.33 nai.com
212.58.240.33 update.symantec.com
212.58.240.33 updates.symantec.com
212.58.240.33 us.mcafee.com
212.58.240.33 liveupdate.symantec.com
212.58.240.33 customer.symantec.com
212.58.240.33 rads.mcafee.com
212.58.240.33 trendmicro.com
212.58.240.33 grisoft.com
212.58.240.33 sandbox.norman.no
212.58.240.33 www.pandasoftware.com
212.58.240.33 uk.trendmicro-europe.com
8.結束安全軟體和禁止運行一些系統程式(如:任務管理器,msconfig.exe等):
9.向MSN好友傳送病毒檔案
10.通網路已分享資料夾(如eMule)傳播自身,可能的檔案名稱如下:
MSN Messenger 7 patch!.exe
CE/DP Stealer 2.exe
MSN Avatar Display Pack 1.0.exe

相關詞條

相關搜尋

熱門詞條

聯絡我們