有点长。

"性感烤鸡"变种B（Worm.MSN.Chicken.b）分析报告
病 毒 名: Worm.MSN.Chicken.b
中文名称: 性感烤鸡B
行为类型: WINDOWS下的木马程序
概 要:
通过MSN传播的蠕虫病毒

详细资料:
病毒采用VB编写，"PESpin"压缩。

病毒运行后有以下行为：

　　一、将自己复制到%SYSDIR%目录下，文件名为"MSNMSR.EXE"。


　　二、释放文件"sexy.jpg"（一张性感美女图片）到C盘根目录下，并使用IE打开该文件。

　　三、将自己复制到C盘根目录下，文件名有以下可能：
　　"Webcam.pif"
　　"bedroom-things.pif"
　　"naked_drunk.pif"
　　"my_pussy.pif"
　　"ROFL.pif"
　　"underware.pif"
　　"Hot.pif"
　　"new_webcam.pif"
　　并通过MSN将该文件发送出去。

　　四、释放文件名为"CZ.EXE"的文件到C盘根目录下，该文件是一个IRC后门程序，病毒通过释放并运行该文件以达到其控制本地计算机的目的。

　　五、病毒会隐藏任务栏。给用户操作带来不便。

　　六、病毒使用“Winmm.dll”函数，把声音控制器的音量调整为最小。

MSN“性感烤鸡”（worm.msn.chicken）急速传播，瑞星提供手工清除方法
针对于Windows 2000/XP/2003系统

1、鼠标右键单击任务栏，选择“任务管理器”，单击“进程”。

2、在进程列表中找到“msnus.exe”一项，单击鼠标右键，选择“结束进程”。








注：该进程结束后，MSN就不再自动发送消息。

3、删除掉操作系统目录（2000/XP系统默认为C:\windows\system32或c:\winnt\system32，9X系统默认为c:\windows\system）下的msnus.exe文件。




4、用类似方法结束winhost.exe（或者为winis.exe、dnsserv.exe）进程。
5、打开"我的电脑"，选择菜单"工具"-》"文件夹选项"，点击"查看"，取消"隐藏受保护的操作系统文件"前的对勾，并在"隐藏文件和文件夹"项中选择"显示所有文件和文件夹"，然后点击"确定"。





6、删除系统目录下的winhost.exe（或者为winis.exe、dnsserv.exe）文件。




7、打开注册表编辑器（点击“开始”－）“运行”，输入“regedit.exe”，点击“确定”。）打开注册表项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，找到win32一项，删除。




8、同理，打开注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices，找到win32一项，删除。

9、删除C盘根目录下“C:\sexy.jpg”文件。

10、重新启动计算机

针对于Windows 98/ME系统

在9X系统下清除该病毒的方法与Win2000/XP系统下基本相同。由于9X系统下很难结束病毒进程，因此，可以在安全模式下删除病毒文件。

进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

瑞星反病毒专家特别提示：

手动清除方法适用于对计算机比较熟悉的用户，由于需要对系统做一些修改，所以不建议一般用户使用此类方法。一般计算机用户尽量使用专业的杀毒软件进行升级，目前瑞星杀毒软件当前版本为17.12.21,可以彻底查杀此病毒。

花木马病毒恐吓MSN玫瑰　瑞星解释疑为普通恶作剧
近日关于《MSN“缀满”红玫瑰，用户自发悼念俄罗斯恐怖袭击中死亡儿童》的消息传出，就有人在MSN上散步消息，称在名字前面放玫瑰花的用户将会被搜寻到，并且被发送一种叫做“花木马”的病毒。但是经微软公司和瑞星公司证实，这种情况不太可能实现。

　　9月10日一大早，记者在MSN上看到，这条消息的原文是这样写的：“请把花收起，放在心里，刚听到有人会利用搜寻，找到放玫瑰花的人，再传送花木马病毒，所以尽快拿下，放朵真的玫瑰花在桌上。”受这条消息的影响，已有用户去掉了名字前面的玫瑰花。记者本人的MSN名单中曾有12人名字前面有玫瑰花图案，其中两人已经将玫瑰花去掉。甚至有网友表示，在其好友名单中去掉玫瑰花图案的人已达到原有人数的五分之三。

　　记者询问了一些去掉玫瑰花图案的网友，这些网友均表示是听说或收到了这条信息后，害怕中病毒而去掉了玫瑰花图案。

　　随后记者与瑞星公司和微软公司取得了联系。瑞星公司市场部郝小姐称，目前瑞星公司还没有监控到这一病毒。郝小姐还称，单靠搜索用户名字传播病毒不太可能。“任何木马病毒都只是一个程序，它的运行方式是下载到本地后再进行远程控制。”微软公司也表示，按照名字来搜寻用户并发送病毒不太可能实现，微软公司技术部的工作人员认为这是一个恶作剧。

“MSN骗子”形成感染高峰　一夜之间成为“毒王”
[快讯]从10月10日傍晚开始，被瑞星命名为“MSN骗子”的蠕虫病毒开始在国内爆发。截止到11日上午11时，瑞星客户服务中心已经接收到近三千个用户的求助讯息，“MSN骗子”一夜之间成为病毒排行榜的绝对第一名，占到同期电脑病毒感染数量的一半左右。其中部分用户的操作系统被破坏，无法正常开机。

    瑞星客服中心副总经理王建锋认为，按照这个比例估算，目前国内已有数万台电脑被该病毒感染，而且传播速度没有放缓的迹象。他认为，除了通过MSN传播外，这个病毒正在越来越多地利用QQ传播，这也是整体疫情不容乐观的重要原因。

    根据瑞星技术部门的分析，该病毒采用了通过QQ和MSN双传播的方式，因此传播感染速度非常快。病毒会通过QQ和MSN发送大量的垃圾信息和“Funny.exe”病毒文件，同时用病毒文件替换系统文件，造成某些用户重启机器之后无法正常开机，给用户带来了非常大的困扰。

    瑞星反病毒专家蔡骏介绍说，“这个病毒会利用中毒电脑向外发送‘funny.exe”文件，当用户接收到此文件并运行之后就会中毒。因此，用户在遇到QQ或MSN用户传送过来的文件时，一定要用16.47.30以上版本的瑞星杀毒软件，或者免费的专杀工具扫描之后再运行，这样就可以比较好的保证自己的安全。”

    如果用户已经中毒，那这时自己的系统就已被病毒破坏，如果强行重启之后会造成电脑无法正常启动。蔡骏建议已经中毒的用户，暂时不要关机，先去瑞星网站下载免费的MSN病毒专杀工具进行杀毒。另外，瑞星已经升级了QQ病毒专杀工具3.4版本以上的QQ病毒专杀工具可以彻底清除此病毒。

    如果用户的机器已经不能正常启动，可以按照以下措施进行处理：

    WIN95/98用户：

    1.用Windows 98启动软盘或者启动光盘启动电脑。
    2.从相同的干净操作系统下拷贝%WINDOWS%\rundll32.exe到软盘上。
    3.将软盘上的%WINDOWS%\rundll32.exe拷贝到中毒机器的%WINDOWS%目录下。
    4.重新启动进入Windows操作系统。
    5.使用瑞星杀毒软件或者专杀工具进行杀毒。

    WIN 2000/XP用户：

    1.如果电脑安装了多操作系统，请从另一个操作系统启动，将已感染
系统的%SYSTEM%\userinit.exe复制一份，并改名为userinit32.exe。
重新启动即可。
    2.如果电脑上是单操作系统，请用系统启动光盘启动到故障修复控制台，然后输入以下命令
    cd system32
    copy userinit.exe userinit32.exe
    重新启动即可。

“MSN骗子”屏蔽937个网站 可能造成Win98崩溃
查杀方案

　　10月10日，被瑞星全球反病毒监测网截获的“MSN骗子”病毒，已经造成大规模的用户感染，值得注意的是，该病毒打破了单独依赖MSN进行传播的方式，还可以通过QQ传播，并可导致部分用户无法正常使用聊天软件。此外，“MSN骗子”还会屏蔽937个网站，对于Win98用户来说，甚至可能造成系统崩溃。

　　瑞星公司反病毒部门负责人蔡骏介绍说，“MSN骗子（Worm.MSN.funny）”病毒同时感染MSN和QQ两种主流即时聊天软件，它传送名为“FUNNY.EXE”的文件，用户点击该文件后就会中毒。这种“双传播”技术使得病毒传播感染速度非常快，在短短的两个小时之内就在网上达到了传染高峰，传播速度可以和“震荡波”、“冲击波”相比。

　　根据瑞星技术部门的分析，用户被感染后，病毒会通过QQ和MSN发送“一家新开的酒吧，晚上聚聚，这里有介绍http://www.××78p.com，记得给我电话”，“对中国威胁最大的十个国家!列表http://www.××78p.com”，我见过最漂亮的视频MM (不看可别后悔) http://www.××78p.com”等信息，并发送名为“FUNNY.EXE”的文件。

　　部分被感染用户的MSN和QQ聊天窗口会被隐藏，导致无法正常使用。

　　蔡骏介绍说，除了会发送这些信息之外，如果用户使用的是Windows 2000/XP操作系统，病毒会修改系统文件，屏蔽937个主流网站，当用户输入这些被屏蔽的网站时，就会转向http://www.××78p.com这个网站。被屏蔽的网站中，包括刚刚被盛大网络收购的原创中文网站“起点中文”等。

　　根据瑞星反病毒专家的分析，如果用户使用的是Windows 98操作系统，病毒会覆盖系统文件，导致用户不能正常关机，强行重启后系统完全崩溃。另外，此病毒采用了双进程保护，很难被清除。

　　来源：瑞星

“QQ连发器”及变种现身 携带恶意网页肆意传播
5月28日，瑞星全球反病毒监测网截获了利用QQ进行传播的木马病毒：“QQ 连发器”（Trojan.WebAuto、Trojan.WebAuto.a）,并进行了紧急升级，目前还未发现病毒的破坏作用。

    该病毒会偷偷藏在用户的系统中，发作时会寻找QQ窗口，每隔1分钟就给所有在线上的QQ好友发送诸如“快去这看看，里面有蛮好好东西-- ”之类的假消息，诱惑用户点击一个网站，如果有人信以为真点击该链接的话，就会被病毒无情感染，然后成为毒源，继续传播。

    据瑞星反病毒专家介绍，该病毒已于昨日开始在网络上蔓延，已有部分用户中招，希望广大用户尤其是QQ用户密切注意该病毒的动向，瑞星公司将会对该病毒继续追踪，将最新的消息公布，瑞星已于5月28日进行了病毒紧急升级，升级版本为15.37.01，希望用户尽快升级手中的反病毒软件，以防止该病毒在网络上传播。

    该病毒有如下具体特征：

    一、藏身系统目录，修改注册表自启动：

    病毒运行时会将自己拷贝于系统目录下命名为：WebAuto.exe，并且在注册表的： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中加入名为：WebAuto.exe 的病毒键值以便自启动。

    二、修改IE默认浏览首页

    病毒会将用户系统中的IE默认首页改为http://www.***.com，使用户一上网就中招。

    三、发送QQ虚假消息

    病毒会寻找QQ的发送消息窗口，给用户所有好友随机发送以下消息：

    1. "激情电影爽啊！给你也推荐一下，完全免费--"；

    2. "快去这看看，里面有蛮好好东西--"；

    3. "上次看了个网站不错，去看看吧--"；

    在这些消息之后还伴随着一个恶意网址诱骗用户点击。

    对计算机比较熟悉的用户可以按照以上病毒特征，手工清除该病毒，病毒对用户系统造成的影响，可以通过瑞星的免费注册表修复工具恢复正常，下载网址：http://it.rising.com.cn/service/technology/RegClean_download.htm。

    如遇到异常情况，请用户赶紧升级手中的瑞星杀毒软件2003版至15.37.01或使用瑞星在线杀毒，如果用户不方便出门，还可以从瑞星网站直接下载“瑞星杀毒软件2003下载版”查杀该病毒，也可以随时拨打瑞星反病毒急救电话：010-82678800进行咨询，瑞星反病毒专家将为您提供全方位的技术支持与服务！

MSN Messenger用户遭“Henpeck”蠕虫袭击
美国当地时间10月10日消息，国外一家杀毒软件公司10月10日发布一项安全公告称，一种名叫“Henpeck”的蠕虫正在MSN Messenger（微软网络即时通）用户之中传播。这种蠕虫利用MSN的聊天网络发送包含一个恶意在线文件链接的信息，这个文件名是“BR2002.exe”。用户点击这个链接就会下载这个文件并且意外地执行这个程序。然后，这个蠕虫就向受害人的好友名单中的每一个人发送即时信息。

    该公司在安全公告中说，这个信息的接收者不会自动感染上这种蠕虫。接收者只有点击那个文件的链接才能被感染上这种蠕虫。

    不过，这个恶意文件已经在网络中被删除了，有效地阻止了这个程序的传播。

    但是，受这种蠕虫感染的计算机可能已经被安装了一种“后门”程序。这个程序的文件名是“BKDR_EVILBOT.A”，能让网络破坏分子把受感染的计算机当作一个平台，向其它计算机或网络系统发动拒绝服务攻击。

    安全专家把“Henpeck”蠕虫列为五级病毒等级中的第二级。第五级表示爆发最严重的病毒

“网络天空”已有57个变种 瑞星接到上万用户求助
据悉，前段时间已经趋于平息的“网络天空(Worm.Netsky)”病毒，近两周疫情又有所加重，据瑞星公司技术服务部数据统计，最近两周时间共收到关于该病毒的邮件和求救电话10031个。

    据瑞星反病毒专家介绍，该病毒之所以又死灰复燃，很大程度上是由于病毒产生的变种很多，而广大的电脑用户又不及时升级杀毒软件所致。从瑞星病毒资料库得到的统计数字表明，网络天空病毒从今年2月19日首次发作起，已经陆续产生了57个病毒变种。瑞星反病毒专家介绍，目前，很多用户都存在着一些错误认识，将原始病毒与后来出现的一些变种病毒混为一谈，认为一次性升级就可以对所有的变种病毒进行清除，从而降低了对这些病毒的警惕，导致了疫情的加重。

    据介绍，网络天空病毒家族的特性差都不多，病毒运行时会将自身隐藏在系统目录，删除一些反病毒软件的注册表项，使它们无法正常工作，病毒发作时，会产生大量的垃圾邮件，并在传播的过程中阻塞网络，造成用户上网速度变慢。

    如何才能彻底预防该病毒呢？瑞星反病毒专家提醒用户，首先是要及时升级自己的杀毒软件，最好能打开软件的自动升级功能，这样就可以保证软件随时处在最新的状态；其次是用户应该在平常工作中将实时监控尤其是邮件监控打开。

    如果用户手中没有杀毒软件，也可以到以下网址：http://it.rising.com.cn/service/technology/tool.htm下载病毒专杀工具来清除病毒，如果用户收到附件为快捷方式，并且有"Re: Re: Document"、"Re: Re: Thanks!"、"Re: Hi"、"Re: Hello"之类英文标题的邮件时，不要轻易打开，最好直接删除，以防止病毒被激活。

"清除者"病毒清除SCO炸弹 降低安全级别 危害用户
2月10日，瑞星全球反病毒监测网在国内率先截获一个蠕虫病毒，并命名为“清除者”(Worm.Deadhat)病毒。据瑞星反病毒工程师介绍，该病毒会随机扫描“SCO炸弹”留的后门端口，尝试利用该后门将自己复制过去以便清除“SCO炸弹”。因为此病毒会终止多种反病毒软件的进程，会降低用户的安全级别，从而间接影响用户的安全。

    据瑞星反病毒工程师分析，1月底“SCO炸弹”病毒及其变种爆发之后，感染了全球大量的计算机用户，而以上病毒会在受感染的机器上建立后门，因此出现了专门利用这些后门传播的病毒。就在今天上午，瑞星还截获了同样利用“SCO炸弹”建立的后门传播的病毒“追随者”。

    目前看来此病毒还没有具体的危害，主要目的是为了清除SCO炸弹病毒。但因为此病毒会扫描系统进程列表，终止一些反病毒软件的运行，会降低用户的安全级别，从而间接影响用户的安全。

    病毒运行后将自己复制到系统目录下，并在注册表启动项中加入自己的键值：KernelFaultChk以达到随系统启动的目的。病毒还会将自己复制到p2p软件的共享目录中，伪装成一些软件的破解或序号生成器以诱骗网络用户下载。

    瑞星公司已于2月10日进行了紧急升级，升级后的软件版本号为16.13.01，此版本的瑞星杀毒软件可以彻底查杀“清除者”病毒。请广大用户尽快升级。