江民“MSN小丑”蠕虫技术分析报告

　　病毒类型：网络蠕虫 　　病毒大小：56320字节 　　传播方式：网络 　　危害等级：★★ 　　 　　2004年10月10日，江民反病毒中心截获一个“MSN”蠕虫病毒I-Worm/MsnFunny。该病毒会自动向用户的MSN好友发送消息和病毒程序，并把大量常用网站转向到http://www.***.com。　　 　　具体技术特征如下： 　　1. 病毒运行后，将创建下列自身的复本： 　　%WinDir%\rundll32.exe, 56320字节 　　%SystemDir%\explorer.exe, 56320字节 　　%SystemDir%\iexplore.exe, 56320字节 　　%SystemDir%\userinit32.exe, 56320字节 　　·8月份10大病毒排行:Netsky蠕虫仍居榜首·电缆故障通讯受阻 蠕虫木马乘机肆虐·QQ尾巴惊现Skype！窃密码蠕虫面世·谨防“魔鬼波”蠕虫疫情暴发 江民发布·木马与病毒 蠕虫Rinbot家族增加新成员·蠕虫·新年问候蠕虫出现，提防上当·从用户角度探讨 解析并防范“蠕虫”病·清除Linux系统上的蠕虫程序Ramen·Sober蠕虫变种再次发难　MSN和Hotmail 　　2. 在注册表中添加下列启动项： 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 　　"MMSystem" = %SystemDir%\mmsystem.dll"", rundll32 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 　　"Userinit" = %SystemDir%\userinit32.exe, 　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 　　"MMSystem" = %SystemDir%\mmsystem.dll"", rundll32 　　这样，在Windows启动时，病毒就可以自动执行。并把MSN强制设置为开机自动运行。 　　 　　3.向用户的MSN在线好友发送下列信息，并会发送病毒程序： 　　一家新开的酒吧，晚上聚聚，这里有介绍 %url%,记得给我电话 　　朋友，多注意休息啊，可以到这里放松放松哦，%url% 　　我们也来俗一把如何，看MM去，%url%，够味！呵呵！ 　　日本人在南京大屠杀的铁证!坚决抵制日货 %url% 　　对中国威胁最大的十个国家!列表 %url% 　　我见过最漂亮的视频MM (不看可别后悔), %url% 　　《中国农民调查》页页血泪，惊动中央 转自网易, %url% 　　 　　4. 修改%SystemDir%\drivers\etc\hosts文件，把900多个常用网站重定向到222.89.98.***，目前该网站无法正常连接。 　　针对该病毒，江民公司已经紧急升级了病毒库。请您及时升级到10月10日病毒库，即可全面查杀该病毒，保护您的系统不受其侵害。