从2月3日上午9点20分开始,许多MSN Messenger用户都收到好友传来的“underware.pif”、“bedroom-thongs.pif”、“Hot.pif”、“LOL.scr”文件。文件名会不断自动更改,文件大小为185KB,实质是一个MS-DOS可执行文件。这是最新的未知MSN病毒,MSN 6.0/6.2.7.0Beta用户都有可能受到感染。用户中毒后会反复登录MSN Messenger并向所有在线好友发送不断自动生成新文件名的病毒。
瑞星公司分析报告称:用户点击运行病毒文件之后,会看到一只鸡的搞笑图片,这时候用户就已经中毒。该病毒除了利用MSN向外发送病毒文件,消耗系统资源之外,还会在中毒电脑里放置后门程序,使黑客可以远程控制该电脑,从而使用户面临极大的安全威胁。根据病毒发作状况,瑞星公司将之命名为“性感烤鸡(worm.msn.chicken)”病毒。
瑞星推出的针对MSN蠕虫病毒的专用查杀工具。
2005年02月03日正式发布 MSN蠕虫病毒专杀工具1.2版本 可彻底查杀MSN“性感烤鸡(Worm.Msn.Chicken)”病毒。
--------------------------------------------------------------------------------
江民公司也很快给出了详细的病毒分析报告,主要内容节录如下:
MSN幽灵蠕虫病毒的最新变种I-Worm/MSN.DropBot.b,它可以释放出“罗伯特”后门病毒的最新变种Backdoor/RBot.zj。
“罗伯特”病毒家族及其近亲Backdoor/Agobot家族可以使用户系统可被黑客完全控制,成为“僵尸电脑”。并能够通过多种系统漏洞和弱口令传播,感染能力极强。2004年江民公司截获该类病毒近3000个变种。最新变种增加通过MSN传播的功能,感染性更胜以前。
病毒具体技术特征如下:
自动向用户所有MSN好友发送带毒文件,可能的文件名有:
LOL.scr
Webcam.pif
bedroom-thongs.pif
naked_drunk.pif
LMAO.pif
ROFL.pif
underware.pif
Hot.pif
new_webcam.pif
释放“罗伯特”病毒最新变种程序winhost.exe。winhost.exe运行后,会将自身复制到%SystemDir%\winhost.exe(124416字节),并在注册表启动项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
中添加:
"win32" = "winhost.exe"
这样,系统每次启动时,病毒都可以自动运行。
和以前变种类似,病毒程序winhost.exe会通过微软的WebDav漏洞、冲击波漏洞、震荡波漏洞和管理员账号弱口令等途径传播。并从IRC上接收黑客命令,使被感染计算机完全被黑客控制,成为“僵尸电脑”。
目前江民公司和瑞星公司都在第一时间升级了病毒库,KV2005和瑞星2005的用户及时升级后能够抵御该病毒的攻击。在此请各位读者拒绝接收该文件并尽快通知公司网管人员发出通告。