【回复“duoyuer”的帖子】WORM_FUNNER.A
Virus Name: WORM_FUNNER.A
Alias: MSN-Worm.Funner
Virus Type: WORM_FUNNER.A
Damage Potential: 低
Detected in Engine: 6.810
Detected in Pattern: 2.194.00
Language: 英语
Size of Virus: 56,320 Bytes (压缩后);312,832 Bytes (未压缩)
Encrypted: 不会
Distribution Potential: 中
Platform: Windows 95, 98, ME, NT, 2000,XP
Memory Resident: 会
Payload: 利用MSN向MSN联系人发送病毒拷贝
Symptoms: MSN用户会收到一个名为FUNNY.EXE的应用程序
[DESCRIPTION] 在运行时,该蠕虫病毒会在Windows和Windows系统文件夹中生成多个自身拷贝。病毒会在注册表中创建自启动项目,以使自身可在每次系统启动时执行。在Windows98和ME系统中,病毒还会修改SYSTEM.INI文件。 病毒会利用MSN向用户的MSN联系人发送自身拷贝。 病毒会修改HOSTS文件。病毒在HOSTS文件中添加特定行,以阻止用户访问特定网站。 该病毒可运行在Windows 95, 98, ME, NT, 2000和XP系统中。
[Details] 安装和自启动技术
病毒会检查MSN Messenger和MSVBVM60.DL是否存在。如果目标机器中没有上述应用程序和文件,病毒不会执行预定程序。
在运行中,病毒会在Windows系统文件夹中生成如下自身拷贝:
· EXPLORER.EXE
· IEXPLORE.EXE
· USERINIT32.EXE
病毒会在Windows文件夹中生成RUNDLL32.EXE文件。然后,病毒会在Windows系统文件夹中生成BSFIRST2.LOG日志文件。
在Windows98和ME系统中,病毒会用自身拷贝覆盖原始的RUNDLL32.EXE文件。
为使自身可以在每次系统启动时自动运行,病毒添加如下的注册表项目:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current-
Version\RunMMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"",RunDll32"HKEY_CURRENT_USER\
Software\Microsoft\Windows\Current
Version\RunMMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"", RunDll32"
在Windows 2000和XP系统中,病毒还会创建如下注册表项目:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinlogonUserinit = "userinit32.exe"
在Windows 98和ME系统中,病毒会修改SYSTEM.INI文件中的[boot]段落,具体如下:
Shell = %System%\explorer.exe
传播
病毒会利用MSN向用户的MSN联系人发送自身拷贝。
修改HOSTS文件
病毒会修改HOSTS文件。病毒在HOSTS文件中添加如下行,以阻止用户访问特定网站其他细节 该病毒经过Aspack压缩。
其他细节
该病毒经过Aspack压缩。
[How to Clean] 重启进入安全模式
在 Windows 95系统中
a.重启机器
b.在出现 "Starting Windows 95"时按F8
c.在Windows95启动菜单中选择安全模式,然后按Enter。
在 Windows 98/ME系统中
a.重启机器
b.按CTRL键直至出现Windows 启动菜单
c.选择安全模式选项,按Enter。
在Windows NT 系统中(VGA 模式)
a.点击开始>设置>控制面板。
b.双击系统图标。
c.点击启动/关闭选项卡。
d.将显示列表选项设置为10秒,点击OK保存更改。
e.关闭系统然后重启。
f. 选择启动菜单中的VGA模式。
注意:要删除启动列表菜单,将显示列表值改为0即可。
在Windows2000 系统中
a.重启机器
b.当看到屏幕底部出现启动Windows横条时,按F8键。
c. 从Windows2000高级选项菜单中,选择安全模式选项,按回车键。
在WindowsXP 系统中
a.重启机器
b.当提示出现时,按F8键。
c.如果Windows XP Professional 启动时没有出现按键选择操作系统启动菜单,重启机器。
d. 在Power-On Self Test (POST)后,按F8。
e. 从Windows高级选项菜单中选择安全模式,按回车。
删除注册表中的自启动项目
从注册表中删除自动运行项目来阻止恶意程序在启动时执行。
在Windows 98和ME系统中
1.打开注册表编辑器。点击开始>运行,输入REGEDIT,按Enter
2. 在左边的面板中,双:HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
3.在右边的面板中,找到并删除如下项目:MMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"", RunDll32" (注意: %System%是Windows的系统文件夹,在Windows 95, 98, 和ME系统中通常是 C:\Windows\System,在WindowsNT和2000系统中是C:\WINNT\System32,在Windows XP系统中是C:\Windows\System32。)(注意: %Windows% 是Windows文件夹,通常就是C:\Windows或C:\WINNT。)
4. 在左边的面板中,双击:HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Run
5. 在右边的面板中,找到并删除如下项目:MMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"",RunDll32"
6. 关闭注册表编辑器。
在Windows XP和2000系统中
1.打开注册表编辑器。点击开始>运行,输入REGEDIT,按Enter
2.在左边的面板中,双击:HKEY_LOCAL_MACHINE>Software>Microsoft
>Windows NT>CurrentVersion>Winlogon
3.在左边面板中找到如下项目:Userinit = "userinit32.exe"
4.将项目值替换成如下值:Userinit = "userinit.exe"
5.关闭注册表编辑器。
6.重启系统进入安全模式。
7.打开注册表编辑器。点击开始>运行,输入REGEDIT,按Enter
8.在左边的面板中,双击:HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
9. 在右边的面板中,找到并删除如下项目:MMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"",RunDll32" (注意: %System%是Windows的系统文件夹,在Windows 95, 98, 和ME系统中通常是 C:\Windows\System,在WindowsNT和2000系统中是C:\WINNT\System32,在Windows XP系统中是C:\Windows\System32。)(注意: %Windows% 是Windows文件夹,通常就是C:\Windows或C:\WINNT。)
10. 在左边的面板中,双击:HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Run
11. 在右边的面板中,找到并删除如下项目:MMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"",RunDll32"
12. 关闭注册表编辑器。 删除系统文件中的自启动项目 恶意程序有时会修改系统文件以使自身在Windows启动时自动运行。在受感染系统安全重启前必须将这些自启动项目删除。
在Windows 98和ME系统中
1.打开SYSTEM.INI文件。点击开始>运行,输入SYSTEM.INI,按Enter。默认的文本编辑器(通常是记事本)会打开该文件。
2.在[boot]节中,找到如下行:Shell = %System%\explorer.exe
3.将其替换成:Shell = explorer.exe
4.关闭SYSTEM.INI文件,提示保存时点击确定。
5.按重启按钮重启机器。
6.使用系统盘启动,然后用未被感染过的RUNDLL32.EXE替换受感染系统中的RUNDLL32.EXE(这是病毒拷贝)。
恢复Windows的HOSTS文件
1.定位HOSTS文件。
a.右击“开始”,点击查找或搜索(这取决于Windows版本)
b.在名称输入框中输入:HOSTS
c. 在搜索下拉列表中选择包含有Windows目录的驱动器,然后按回车。
2. 使用记事本编辑HOSTS文件。
3. 删除恶意程序添加的行。
4. 保存HOSTS文件,关闭记事本。
附加Windows ME/XP清除说明
运行Windows ME和XP的用户必须禁用系统还原,从而可以对受感染的系统进行全面扫描。
运行其他Windows版本的用户可以不需要处理上面的附加说明。
运行趋势科技防病毒
使用趋势科技防病毒产品扫描系统并删除所有被检测为WORM_FUNNER.A的文件。趋势科技的用户必须在扫描系统之前下载最新病毒码文件。 其他的互联网用户可以使用Housecall,这是趋势科技的免费在线病毒扫描。
