MSN Messenger“性感烤鸡”病毒查杀专题
 

从2月3日上午9点20分开始，许多MSN Messenger用户都收到好友传来的“underware.pif”、“bedroom-thongs.pif”、“Hot.pif”、“LOL.scr”文件。文件名会不断自动更改，文件大小为185KB，实质是一个MS-DOS可执行文件。这是最新的未知MSN病毒，MSN 6.0/6.2.7.0Beta用户都有可能受到感染。用户中毒后会反复登录MSN Messenger并向所有在线好友发送不断自动生成新文件名的病毒。

瑞星公司分析报告称：用户点击运行病毒文件之后，会看到一只鸡的搞笑图片，这时候用户就已经中毒。该病毒除了利用MSN向外发送病毒文件，消耗系统资源之外，还会在中毒电脑里放置后门程序，使黑客可以远程控制该电脑，从而使用户面临极大的安全威胁。根据病毒发作状况，瑞星公司将之命名为“性感烤鸡（worm.msn.chicken）”病毒。

瑞星推出的针对MSN蠕虫病毒的专用查杀工具。

2005年02月03日正式发布 MSN蠕虫病毒专杀工具1.2版本 可彻底查杀MSN“性感烤鸡（Worm.Msn.Chicken）”病毒。





--------------------------------------------------------------------------------



江民公司也很快给出了详细的病毒分析报告，主要内容节录如下：

MSN幽灵蠕虫病毒的最新变种I-Worm/MSN.DropBot.b，它可以释放出“罗伯特”后门病毒的最新变种Backdoor/RBot.zj。

“罗伯特”病毒家族及其近亲Backdoor/Agobot家族可以使用户系统可被黑客完全控制，成为“僵尸电脑”。并能够通过多种系统漏洞和弱口令传播，感染能力极强。2004年江民公司截获该类病毒近3000个变种。最新变种增加通过MSN传播的功能，感染性更胜以前。

病毒具体技术特征如下：

自动向用户所有MSN好友发送带毒文件，可能的文件名有：

LOL.scr

Webcam.pif

bedroom-thongs.pif

naked_drunk.pif

LMAO.pif

ROFL.pif

underware.pif

Hot.pif

new_webcam.pif

释放“罗伯特”病毒最新变种程序winhost.exe。winhost.exe运行后，会将自身复制到%SystemDir%\winhost.exe（124416字节），并在注册表启动项

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

中添加：

"win32" = "winhost.exe"

这样，系统每次启动时，病毒都可以自动运行。

和以前变种类似，病毒程序winhost.exe会通过微软的WebDav漏洞、冲击波漏洞、震荡波漏洞和管理员账号弱口令等途径传播。并从IRC上接收黑客命令，使被感染计算机完全被黑客控制，成为“僵尸电脑”。

目前江民公司和瑞星公司都在第一时间升级了病毒库，KV2005和瑞星2005的用户及时升级后能够抵御该病毒的攻击。在此请各位读者拒绝接收该文件并尽快通知公司网管人员发出通告。