andy33448
   
|
分享:
▼
x0
|
今天早上6點 突然收到朋友MSN傳送檔案
因為是朋友所以收檔來看 後來發現是photos album-2007-5-26.scr檔
放是上網查了一下是~病毒~
後來用GOOGLE查了一下
查到以下資訊
詳細的病毒分析如下:
===============================================================
病毒名稱:Worm/MSN.SendPhoto.a
中文名:性感相冊
病毒類型:蠕蟲
危害等級:★★
影響平台:Win9X/ME/NT/2000/XP/2003
病毒運行特徵:
病毒運行後,將創建下列文件:
%WinDir%\photos.zip,479382字節
%SystemDir%\syshosts.dll,22016字節
在註冊表中添加下列啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\ShellServiceObjectDelayLoad]
"syshosts"={71b1b601-4599-40ff-a283-73fc3c7de863}
這樣,在Windows啟動時,病毒就可以自動執行。
其中syshosts.dll文件會注入到當前所有進程中。
該病毒運行時,會通過MSN即時聊天工具向MSN上的好友發送大小為479382字節的photos.zip病毒包,該壓縮包裡面包含名為photosalbum-2007-5-26.scr病毒文件,同時會隨機向好友發送語句
===============================================================
即然是毒 只要沒重開機就不會執行
於是我馬上解毒 做了以下動作 :
拔掉網路線,防止再散播出去。
WIN鍵+R 跑出執行 在執行裡輸入regedit進入登錄檔
並用搜尋找查到的資訊 syshosts
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"syshosts"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" <- 將此機碼刪除,並記下 XX 編號
然後在用機碼尋找一次
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32] <- 除刪此機碼,此 XX 與上一個機碼編號相同
@="syshosts.dll" <--找到並刪除
刪除病毒檔案
C:\Windows\photos.zip
C:\Windows\System32\syshosts.dll
機碼名稱未必相同所以用X替代
接收到的病毒也有可能是PHOTOS.RAR
未解毒之前還會亂傳一堆英文出去
解完之後 就什麼事都沒發生了
謎之聲: 最噁心的訊息是傳 I LOVE YOU 給一個男生~(我不是女的...囧)
|
