有点长.

"性感烤鸡"变种B（Worm.MSN.Chicken.b）分析报告
病 毒 名: Worm.MSN.Chicken.b
中文名称: 性感烤鸡B
行为类型: WINDOWS下的木马程序
概 要:
通过MSN传播的蠕虫病毒

详细资料:
病毒采用VB编写，"PESpin"压缩。

病毒运行后有以下行为：

　　一、将自己复制到%SYSDIR%目录下，文件名为"MSNMSR.EXE"。


　　二、释放文件"sexy.jpg"（一张性感美女图片）到C盘根目录下，并使用IE打开该文件。

　　三、将自己复制到C盘根目录下，文件名有以下可能：
　　"Webcam.pif"
　　"bedroom-things.pif"
　　"naked_drunk.pif"
　　"my_pussy.pif"
　　"ROFL.pif"
　　"underware.pif"
　　"Hot.pif"
　　"new_webcam.pif"
　　并通过MSN将该文件发送出去。

　　四、释放文件名为"CZ.EXE"的文件到C盘根目录下，该文件是一个IRC后门程序，病毒通过释放并运行该文件以达到其控制本地计算机的目的。

　　五、病毒会隐藏任务栏。给用户操作带来不便。

　　六、病毒使用“Winmm.dll”函数，把声音控制器的音量调整为最小。

MSN“性感烤鸡”（worm.msn.chicken）急速传播，瑞星提供手工清除方法
针对于Windows 2000/XP/2003系统

1、鼠标右键单击任务栏，选择“任务管理器”，单击“进程”。

2、在进程列表中找到“msnus.exe”一项，单击鼠标右键，选择“结束进程”。








注：该进程结束后，MSN就不再自动发送消息。

3、删除掉操作系统目录（2000/XP系统默认为C:\windows\system32或c:\winnt\system32，9X系统默认为c:\windows\system）下的msnus.exe文件。




4、用类似方法结束winhost.exe（或者为winis.exe、dnsserv.exe）进程。
5、打开"我的电脑"，选择菜单"工具"-》"文件夹选项"，点击"查看"，取消"隐藏受保护的操作系统文件"前的对勾，并在"隐藏文件和文件夹"项中选择"显示所有文件和文件夹"，然后点击"确定"。





6、删除系统目录下的winhost.exe（或者为winis.exe、dnsserv.exe）文件。




7、打开注册表编辑器（点击“开始”－）“运行”，输入“regedit.exe”，点击“确定”。）打开注册表项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，找到win32一项，删除。




8、同理，打开注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices，找到win32一项，删除。

9、删除C盘根目录下“C:\sexy.jpg”文件。

10、重新启动计算机

针对于Windows 98/ME系统

在9X系统下清除该病毒的方法与Win2000/XP系统下基本相同。由于9X系统下很难结束病毒进程，因此，可以在安全模式下删除病毒文件。

进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

瑞星反病毒专家特别提示：

手动清除方法适用于对计算机比较熟悉的用户，由于需要对系统做一些修改，所以不建议一般用户使用此类方法。一般计算机用户尽量使用专业的杀毒软件进行升级，目前瑞星杀毒软件当前版本为17.12.21,可以彻底查杀此病毒。

花木马病毒恐吓MSN玫瑰　瑞星解释疑为普通恶作剧
近日关于《MSN“缀满”红玫瑰，用户自发悼念俄罗斯恐怖袭击中死亡儿童》的消息传出，就有人在MSN上散步消息，称在名字前面放玫瑰花的用户将会被搜寻到，并且被发送一种叫做“花木马”的病毒。但是经微软公司和瑞星公司证实，这种情况不太可能实现。

　　9月10日一大早，记者在MSN上看到，这条消息的原文是这样写的：“请把花收起，放在心里，刚听到有人会利用搜寻，找到放玫瑰花的人，再传送花木马病毒，所以尽快拿下，放朵真的玫瑰花在桌上。”受这条消息的影响，已有用户去掉了名字前面的玫瑰花。记者本人的MSN名单中曾有12人名字前面有玫瑰花图案，其中两人已经将玫瑰花去掉。甚至有网友表示，在其好友名单中去掉玫瑰花图案的人已达到原有人数的五分之三。

　　记者询问了一些去掉玫瑰花图案的网友，这些网友均表示是听说或收到了这条信息后，害怕中病毒而去掉了玫瑰花图案。

　　随后记者与瑞星公司和微软公司取得了联系。瑞星公司市场部郝小姐称，目前瑞星公司还没有监控到这一病毒。郝小姐还称，单靠搜索用户名字传播病毒不太可能。“任何木马病毒都只是一个程序，它的运行方式是下载到本地后再进行远程控制。”微软公司也表示，按照名字来搜寻用户并发送病毒不太可能实现，微软公司技术部的工作人员认为这是一个恶作剧。

“MSN骗子”形成感染高峰　一夜之间成为“毒王”
[快讯]从10月10日傍晚开始，被瑞星命名为“MSN骗子”的蠕虫病毒开始在国内爆发。截止到11日上午11时，瑞星客户服务中心已经接收到近三千个用户的求助讯息，“MSN骗子”一夜之间成为病毒排行榜的绝对第一名，占到同期电脑病毒感染数量的一半左右。其中部分用户的操作系统被破坏，无法正常开机。

    瑞星客服中心副总经理王建锋认为，按照这个比例估算，目前国内已有数万台电脑被该病毒感染，而且传播速度没有放缓的迹象。他认为，除了通过MSN传播外，这个病毒正在越来越多地利用QQ传播，这也是整体疫情不容乐观的重要原因。

    根据瑞星技术部门的分析，该病毒采用了通过QQ和MSN双传播的方式，因此传播感染速度非常快。病毒会通过QQ和MSN发送大量的垃圾信息和“Funny.exe”病毒文件，同时用病毒文件替换系统文件，造成某些用户重启机器之后无法正常开机，给用户带来了非常大的困扰。

    瑞星反病毒专家蔡骏介绍说，“这个病毒会利用中毒电脑向外发送‘funny.exe”文件，当用户接收到此文件并运行之后就会中毒。因此，用户在遇到QQ或MSN用户传送过来的文件时，一定要用16.47.30以上版本的瑞星杀毒软件，或者免费的专杀工具扫描之后再运行，这样就可以比较好的保证自己的安全。”

    如果用户已经中毒，那这时自己的系统就已被病毒破坏，如果强行重启之后会造成电脑无法正常启动。蔡骏建议已经中毒的用户，暂时不要关机，先去瑞星网站下载免费的MSN病毒专杀工具进行杀毒。另外，瑞星已经升级了QQ病毒专杀工具3.4版本以上的QQ病毒专杀工具可以彻底清除此病毒。

    如果用户的机器已经不能正常启动，可以按照以下措施进行处理：

    WIN95/98用户：

    1.用Windows 98启动软盘或者启动光盘启动电脑。
    2.从相同的干净操作系统下拷贝%WINDOWS%\rundll32.exe到软盘上。
    3.将软盘上的%WINDOWS%\rundll32.exe拷贝到中毒机器的%WINDOWS%目录下。
    4.重新启动进入Windows操作系统。
    5.使用瑞星杀毒软件或者专杀工具进行杀毒。

    WIN 2000/XP用户：

    1.如果电脑安装了多操作系统，请从另一个操作系统启动，将已感染
系统的%SYSTEM%\userinit.exe复制一份，并改名为userinit32.exe。
重新启动即可。
    2.如果电脑上是单操作系统，请用系统启动光盘启动到故障修复控制台，然后输入以下命令
    cd system32
    copy userinit.exe userinit32.exe
    重新启动即可。

“QQ连发器”及变种现身 携带恶意网页肆意传播
5月28日，瑞星全球反病毒监测网截获了利用QQ进行传播的木马病毒：“QQ 连发器”（Trojan.WebAuto、Trojan.WebAuto.a）,并进行了紧急升级，目前还未发现病毒的破坏作用。

    该病毒会偷偷藏在用户的系统中，发作时会寻找QQ窗口，每隔1分钟就给所有在线上的QQ好友发送诸如“快去这看看，里面有蛮好好东西-- ”之类的假消息，诱惑用户点击一个网站，如果有人信以为真点击该链接的话，就会被病毒无情感染，然后成为毒源，继续传播。

    据瑞星反病毒专家介绍，该病毒已于昨日开始在网络上蔓延，已有部分用户中招，希望广大用户尤其是QQ用户密切注意该病毒的动向，瑞星公司将会对该病毒继续追踪，将最新的消息公布，瑞星已于5月28日进行了病毒紧急升级，升级版本为15.37.01，希望用户尽快升级手中的反病毒软件，以防止该病毒在网络上传播。

    该病毒有如下具体特征：

    一、藏身系统目录，修改注册表自启动：

    病毒运行时会将自己拷贝于系统目录下命名为：WebAuto.exe，并且在注册表的： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中加入名为：WebAuto.exe 的病毒键值以便自启动。

    二、修改IE默认浏览首页

    病毒会将用户系统中的IE默认首页改为http://www.***.com，使用户一上网就中招。

    三、发送QQ虚假消息

    病毒会寻找QQ的发送消息窗口，给用户所有好友随机发送以下消息：

    1. "激情电影爽啊！给你也推荐一下，完全免费--"；

    2. "快去这看看，里面有蛮好好东西--"；

    3. "上次看了个网站不错，去看看吧--"；

    在这些消息之后还伴随着一个恶意网址诱骗用户点击。

    对计算机比较熟悉的用户可以按照以上病毒特征，手工清除该病毒，病毒对用户系统造成的影响，可以通过瑞星的免费注册表修复工具恢复正常，下载网址：http://it.rising.com.cn/service/technology/RegClean_download.htm。

    如遇到异常情况，请用户赶紧升级手中的瑞星杀毒软件2003版至15.37.01或使用瑞星在线杀毒，如果用户不方便出门，还可以从瑞星网站直接下载“瑞星杀毒软件2003下载版”查杀该病毒，也可以随时拨打瑞星反病毒急救电话：010-82678800进行咨询，瑞星反病毒专家将为您提供全方位的技术支持与服务！

【回复“奇迹天下”的帖子】No

MSN Messenger用户遭“Henpeck”蠕虫袭击
美国当地时间10月10日消息，国外一家杀毒软件公司10月10日发布一项安全公告称，一种名叫“Henpeck”的蠕虫正在MSN Messenger（微软网络即时通）用户之中传播。这种蠕虫利用MSN的聊天网络发送包含一个恶意在线文件链接的信息，这个文件名是“BR2002.exe”。用户点击这个链接就会下载这个文件并且意外地执行这个程序。然后，这个蠕虫就向受害人的好友名单中的每一个人发送即时信息。

    该公司在安全公告中说，这个信息的接收者不会自动感染上这种蠕虫。接收者只有点击那个文件的链接才能被感染上这种蠕虫。

    不过，这个恶意文件已经在网络中被删除了，有效地阻止了这个程序的传播。

    但是，受这种蠕虫感染的计算机可能已经被安装了一种“后门”程序。这个程序的文件名是“BKDR_EVILBOT.A”，能让网络破坏分子把受感染的计算机当作一个平台，向其它计算机或网络系统发动拒绝服务攻击。

    安全专家把“Henpeck”蠕虫列为五级病毒等级中的第二级。第五级表示爆发最严重的病毒。

瑞星发布 2006年8月7日“橙色八月”病毒疫情报告
8月3日以来，瑞星全球反病毒监测网截获到数十个“反常的”恶性病毒，它们除了有常见的危害之外，还会造成主流杀毒软件和个人防火墙无法打开，甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。针对此类病毒，瑞星公司发布今年首次橙色（二级）警报，并将它们通称为“橙色八月”以提醒广大用户注意防范。

    来自瑞星客户服务中心的数据表明，目前感染此系列病毒的人数已经过万，仅8月7日（星期一）9点到12点四个小时，就接到了共5108个有关此类病毒的求助电话。8月5日和6日两天虽然是节假日，但瑞星客服中心仍然接到了大量的用户求助电话、电子邮件等，与上月（7月）同期相比，通过电话求助的数量比上月增加了101.02％，通过电子邮件的求助数量也提高了55.48%，而使用远程专家门诊进行远程救助的用户数量则猛增为原来的167.30%。

    瑞星反病毒专家分析认为，导致此类病毒疫情攀升的主要原因是由于其针对反病毒软件以及变种繁多的特点。很可能有病毒编写者或者黑客组织，有计划地在各种流行病毒中加载了反杀毒软件的程序，掀起这场针对主流杀毒软件的“战争”。目前瑞星已经截获了大量该类病毒，预计近段时间该类病毒数量还会继续增加。

    针对此类病毒，瑞星杀毒软件2006版已经升级至18.38.42版，请广大用户及时更新杀毒软件到最新版本，并打开“文件”、“注册表”、“内存”等全部八项实时监控进行防范。已

    感染此类病毒的用户可以登陆http://it.rising.com.cn/Channels/Service/index.shtml，下载免费专杀工具，或通过“瑞星在线专家门诊”寻求远程救助，也可拨打反病毒急救电话：010-82678800寻求帮助。

病毒专攻杀毒软件 专家教你三招识别橙色八月病毒
8月3日以来，瑞星全球反病毒监测网截获到数十个“反常的”恶性病毒，它们除了有正常的危害之外，还会造成主流杀毒软件和个人防火墙无法打开，甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。这些病毒包括“传奇终结者（Trojan.PSW.LMir）”、“QQ通行证（Trojan.PSW.QQPass）”以及“密西木马（Trojan.PSW.Misc）”等病毒的最新变种。瑞星已发布今年首次橙色（二级）安全警报，提醒广大用户警惕此类病毒。

    针对此类病毒，可用简单的三个方法对它们进行识别：

第一招

    打开“我的电脑”，选择菜单“工具”-》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，同时取消掉“隐藏已知文件类型的扩展名”前的对勾，然后点击“确定”。



    进入C:\windows\system32目录下（Windows2000系统为C:\WINNT目录），若发现有名为“command”、“dxdiaq.com”、“finder.com”、“MSCONFIG.COM”、“regedit.com”以及“rundll32.com”等文件生成，则说明是中了“密西木马（Trojan.PSW.Misc）”或其变种病毒。



第二招

    点击“开始”按钮，选择“运行”，输入“regedit”并确定，启动注册表编辑器。打开“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows”项，在右边的窗口中查找AppInit_DLLs。若其值为“KB（中间六位数字）M.LOG”，如“KB896588M.LOG”、“KB235780M.LOG”、“KB75976M.LOG”等，则说明是中了新的“传奇终结者（Trojan.PSW.LMir）”及其变种病毒。



第三招

同时按下键盘CTRL+ALT+DEL键，或右键点击任务栏，选择“任务管理器”。单击“进程”标签。如果找到名为“SVOHOST.EXE”的进程，则说明已感染了“QQ通行证（Trojan.PSW.QQPass）”病毒或其变种。



    若发现感染病毒可登陆瑞星网站下载免费的专杀工具进行查杀。用户也可以登录http://help.rising.com.cn，通过“在线专家门诊”寻求远程救助，或拨打反病毒急救电话：010-82678800寻求帮助。