蠕虫病毒Worm_Funny.A分析报告（6）

蠕虫病毒Worm_Funny.A分析报告（6）

　　江民“MSN小丑”蠕虫病毒分析报告

　　病毒类型：网络蠕虫
　　 病毒大小：56320字节
　　 传播方式：网络
　　 危害等级：★★

　　2004年10月10日，江民反病毒中心截获一个“MSN”蠕虫病毒I-Worm/MsnFunny。该病毒会自动向用户的MSN好友发送消息和病毒程序，并把大量常用网站转向到http://www.***.com。

　　具体技术特征如下：

　　1. 病毒运行后，将创建下列自身的复本：

%WinDir%\rundll32.exe, 56320字节
%SystemDir%\explorer.exe, 56320字节
%SystemDir%\iexplore.exe, 56320字节
%SystemDir%\userinit32.exe, 56320字节

　　2. 在注册表中添加下列启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MMSystem" = %SystemDir%\mmsystem.dll"", rundll32
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = %SystemDir%\userinit32.exe,
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MMSystem" = %SystemDir%\mmsystem.dll"", rundll32

　　这样，在Windows启动时，病毒就可以自动执行。并把MSN强制设置为开机自动运行。

　　3.向用户的MSN在线好友发送下列信息，并会发送病毒程序：

一家新开的酒吧，晚上聚聚，这里有介绍 %url%,记得给我电话
朋友，多注意休息啊，可以到这里放松放松哦，%url%
我们也来俗一把如何，看MM去，%url%，够味！呵呵！
日本人在南京大屠杀的铁证!坚决抵制日货 %url%
对中国威胁最大的十个国家!列表 %url%
我见过最漂亮的视频MM

[1] [2] 下一页