蠕虫病毒Worm_Funny.A分析报告（1）

蠕虫病毒Worm_Funny.A分析报告（1）

厂商	病毒分析报告
国家计算机病毒应急处理中心	MSN病毒分析报告
瑞星	“MSN骗子”蠕虫病毒分析报告
金山	“MSN小尾巴”蠕虫病毒分析报告
江民	“MSN小丑”蠕虫病毒分析报告

国家计算机病毒应急处理中心MSN病毒分析报告

　　病毒名称: Worm_Funny.A
　　 病毒别名: WORM_FUNNER.A [Trend]
　　　　 I-Worm/MsnFunny [江民]
　　　　 Worm.MSN.funny [瑞星]
　　　　 Worm.MSNFunny [金山]
　　 病毒中文名：
　　　　 MSN小丑 [江民]
　　　　 MSN骗子 [瑞星]
　　　　 MSN小尾巴[金山]
　　 病毒类型: 蠕虫
　　 病毒大小：56,320 Bytes (压缩后);
　　　　 312,832 Bytes (未压缩)
　　 受影响系统: Win9x/WinMe/WinNT/Win2000/WinXP

病毒特性：

　　该病毒主要通过MSN进行传播，病毒会向中毒机器里的MSN中的联系人发送病毒文件，MSN联系人会收到一个名为FUNNY.EXE的应用程序，接收并点击它就会感染机器，并会生成病毒自身的一些复制文件。病毒还会修改系统的注册表，使得自身能够在系统启动时自动运行，还会屏蔽一些网站。

　　用户一定要了解该病毒的主要特征，在使用MSN聊天过程中遇到此类问题，千万不要接收打开发送来的应用程序或是网站，避免病毒的感染和进一步的传播。同时，该病毒会有可能出现一系列的变种，计算机用户要做好防范措施。

　　1、生成病毒文件：

　　病毒运行后,会在%System%目录下生成RUNDLL32.EXE文件及自身拷贝，分别为：
EXPLORER.EXE 、
IEXPLORE.EXE 、
USERINIT32.EXE ，
还有一个名为BSFIRST2.LOG的日志文件。
（其中，%System%在Windows 95/98/Me 下为C:\Windows\System，在Windows NT/2000下为C:\Winnt\System32，在Windows XP下为 C:\Windows\System32）

　　另外，在Windows98和ME系统中，病毒会用自身拷贝覆盖原始的RUNDLL32.EXE文件。

　　2、修改注册表项：

　　病毒添加注册表项，使得自身能够在系统启动时自动运行，在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run 下添加MMSystem = "MMSystem" = %System%\mmsystem.dll"", rundll32"

　　在Windows 2000和XP系统中，病毒还会创建如下注册表项目：

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下添加Userinit = "userinit32.exe"

　　在Windows 98和ME系统中，病毒会修改SYSTEM.INI文件中的[boot]段落，具体如下:

　　Shell = %System%\explorer.exe

　　3、通过MSN传播：

　　病毒会利用由病毒机器里的MSN向该用户的MSN联系人发送病毒文件。该病毒会先发送一条网站的广告消息，诱骗用户登陆某网站。接着发来一个FUNNY.EXE应用程序，当用户不知情的情况下，运行了发送来的病毒副本，就会导致中毒。

　　4、屏蔽网站：

　　病毒会修改修改%System%\drivers\etc\hosts文件，把900多个常用网站重定向到某网站，目前该网站无法正常连接。

　　5、清除工具：

　　目前，趋势、江民、瑞星、金山公司已经上报解决方案，并对产品进行了升级，都可以有效的清除该病毒。（待续）