有点长。

"性感烤鸡"变种B（Worm.MSN.Chicken.b）分析报告
病 毒 名: Worm.MSN.Chicken.b
中文名称: 性感烤鸡B
行为类型: WINDOWS下的木马程序
概 要:
通过MSN传播的蠕虫病毒

详细资料:
病毒采用VB编写，"PESpin"压缩。

病毒运行后有以下行为：

　　一、将自己复制到%SYSDIR%目录下，文件名为"MSNMSR.EXE"。


　　二、释放文件"sexy.jpg"（一张性感美女图片）到C盘根目录下，并使用IE打开该文件。

　　三、将自己复制到C盘根目录下，文件名有以下可能：
　　"Webcam.pif"
　　"bedroom-things.pif"
　　"naked_drunk.pif"
　　"my_pussy.pif"
　　"ROFL.pif"
　　"underware.pif"
　　"Hot.pif"
　　"new_webcam.pif"
　　并通过MSN将该文件发送出去。

　　四、释放文件名为"CZ.EXE"的文件到C盘根目录下，该文件是一个IRC后门程序，病毒通过释放并运行该文件以达到其控制本地计算机的目的。

　　五、病毒会隐藏任务栏。给用户操作带来不便。

　　六、病毒使用“Winmm.dll”函数，把声音控制器的音量调整为最小。

MSN“性感烤鸡”（worm.msn.chicken）急速传播，瑞星提供手工清除方法
针对于Windows 2000/XP/2003系统

1、鼠标右键单击任务栏，选择“任务管理器”，单击“进程”。

2、在进程列表中找到“msnus.exe”一项，单击鼠标右键，选择“结束进程”。








注：该进程结束后，MSN就不再自动发送消息。

3、删除掉操作系统目录（2000/XP系统默认为C:\windows\system32或c:\winnt\system32，9X系统默认为c:\windows\system）下的msnus.exe文件。




4、用类似方法结束winhost.exe（或者为winis.exe、dnsserv.exe）进程。
5、打开"我的电脑"，选择菜单"工具"-》"文件夹选项"，点击"查看"，取消"隐藏受保护的操作系统文件"前的对勾，并在"隐藏文件和文件夹"项中选择"显示所有文件和文件夹"，然后点击"确定"。





6、删除系统目录下的winhost.exe（或者为winis.exe、dnsserv.exe）文件。




7、打开注册表编辑器（点击“开始”－）“运行”，输入“regedit.exe”，点击“确定”。）打开注册表项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，找到win32一项，删除。




8、同理，打开注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices，找到win32一项，删除。

9、删除C盘根目录下“C:\sexy.jpg”文件。

10、重新启动计算机

针对于Windows 98/ME系统

在9X系统下清除该病毒的方法与Win2000/XP系统下基本相同。由于9X系统下很难结束病毒进程，因此，可以在安全模式下删除病毒文件。

进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

瑞星反病毒专家特别提示：

手动清除方法适用于对计算机比较熟悉的用户，由于需要对系统做一些修改，所以不建议一般用户使用此类方法。一般计算机用户尽量使用专业的杀毒软件进行升级，目前瑞星杀毒软件当前版本为17.12.21,可以彻底查杀此病毒。

花木马病毒恐吓MSN玫瑰　瑞星解释疑为普通恶作剧
近日关于《MSN“缀满”红玫瑰，用户自发悼念俄罗斯恐怖袭击中死亡儿童》的消息传出，就有人在MSN上散步消息，称在名字前面放玫瑰花的用户将会被搜寻到，并且被发送一种叫做“花木马”的病毒。但是经微软公司和瑞星公司证实，这种情况不太可能实现。

　　9月10日一大早，记者在MSN上看到，这条消息的原文是这样写的：“请把花收起，放在心里，刚听到有人会利用搜寻，找到放玫瑰花的人，再传送花木马病毒，所以尽快拿下，放朵真的玫瑰花在桌上。”受这条消息的影响，已有用户去掉了名字前面的玫瑰花。记者本人的MSN名单中曾有12人名字前面有玫瑰花图案，其中两人已经将玫瑰花去掉。甚至有网友表示，在其好友名单中去掉玫瑰花图案的人已达到原有人数的五分之三。

　　记者询问了一些去掉玫瑰花图案的网友，这些网友均表示是听说或收到了这条信息后，害怕中病毒而去掉了玫瑰花图案。

　　随后记者与瑞星公司和微软公司取得了联系。瑞星公司市场部郝小姐称，目前瑞星公司还没有监控到这一病毒。郝小姐还称，单靠搜索用户名字传播病毒不太可能。“任何木马病毒都只是一个程序，它的运行方式是下载到本地后再进行远程控制。”微软公司也表示，按照名字来搜寻用户并发送病毒不太可能实现，微软公司技术部的工作人员认为这是一个恶作剧。

“MSN骗子”形成感染高峰　一夜之间成为“毒王”
[快讯]从10月10日傍晚开始，被瑞星命名为“MSN骗子”的蠕虫病毒开始在国内爆发。截止到11日上午11时，瑞星客户服务中心已经接收到近三千个用户的求助讯息，“MSN骗子”一夜之间成为病毒排行榜的绝对第一名，占到同期电脑病毒感染数量的一半左右。其中部分用户的操作系统被破坏，无法正常开机。

    瑞星客服中心副总经理王建锋认为，按照这个比例估算，目前国内已有数万台电脑被该病毒感染，而且传播速度没有放缓的迹象。他认为，除了通过MSN传播外，这个病毒正在越来越多地利用QQ传播，这也是整体疫情不容乐观的重要原因。

    根据瑞星技术部门的分析，该病毒采用了通过QQ和MSN双传播的方式，因此传播感染速度非常快。病毒会通过QQ和MSN发送大量的垃圾信息和“Funny.exe”病毒文件，同时用病毒文件替换系统文件，造成某些用户重启机器之后无法正常开机，给用户带来了非常大的困扰。

    瑞星反病毒专家蔡骏介绍说，“这个病毒会利用中毒电脑向外发送‘funny.exe”文件，当用户接收到此文件并运行之后就会中毒。因此，用户在遇到QQ或MSN用户传送过来的文件时，一定要用16.47.30以上版本的瑞星杀毒软件，或者免费的专杀工具扫描之后再运行，这样就可以比较好的保证自己的安全。”

    如果用户已经中毒，那这时自己的系统就已被病毒破坏，如果强行重启之后会造成电脑无法正常启动。蔡骏建议已经中毒的用户，暂时不要关机，先去瑞星网站下载免费的MSN病毒专杀工具进行杀毒。另外，瑞星已经升级了QQ病毒专杀工具3.4版本以上的QQ病毒专杀工具可以彻底清除此病毒。

    如果用户的机器已经不能正常启动，可以按照以下措施进行处理：

    WIN95/98用户：

    1.用Windows 98启动软盘或者启动光盘启动电脑。
    2.从相同的干净操作系统下拷贝%WINDOWS%\rundll32.exe到软盘上。
    3.将软盘上的%WINDOWS%\rundll32.exe拷贝到中毒机器的%WINDOWS%目录下。
    4.重新启动进入Windows操作系统。
    5.使用瑞星杀毒软件或者专杀工具进行杀毒。

    WIN 2000/XP用户：

    1.如果电脑安装了多操作系统，请从另一个操作系统启动，将已感染
系统的%SYSTEM%\userinit.exe复制一份，并改名为userinit32.exe。
重新启动即可。
    2.如果电脑上是单操作系统，请用系统启动光盘启动到故障修复控制台，然后输入以下命令
    cd system32
    copy userinit.exe userinit32.exe
    重新启动即可。

“MSN骗子”屏蔽937个网站 可能造成Win98崩溃
　　查杀方案

　　10月10日，被瑞星全球反病毒监测网截获的“MSN骗子”病毒，已经造成大规模的用户感染，值得注意的是，该病毒打破了单独依赖MSN进行传播的方式，还可以通过QQ传播，并可导致部分用户无法正常使用聊天软件。此外，“MSN骗子”还会屏蔽937个网站，对于Win98用户来说，甚至可能造成系统崩溃。

　　瑞星公司反病毒部门负责人蔡骏介绍说，“MSN骗子（Worm.MSN.funny）”病毒同时感染MSN和QQ两种主流即时聊天软件，它传送名为“FUNNY.EXE”的文件，用户点击该文件后就会中毒。这种“双传播”技术使得病毒传播感染速度非常快，在短短的两个小时之内就在网上达到了传染高峰，传播速度可以和“震荡波”、“冲击波”相比。

　　根据瑞星技术部门的分析，用户被感染后，病毒会通过QQ和MSN发送“一家新开的酒吧，晚上聚聚，这里有介绍http://www.××78p.com，记得给我电话”，“对中国威胁最大的十个国家!列表http://www.××78p.com”，我见过最漂亮的视频MM (不看可别后悔) http://www.××78p.com”等信息，并发送名为“FUNNY.EXE”的文件。

　　部分被感染用户的MSN和QQ聊天窗口会被隐藏，导致无法正常使用。

　　蔡骏介绍说，除了会发送这些信息之外，如果用户使用的是Windows 2000/XP操作系统，病毒会修改系统文件，屏蔽937个主流网站，当用户输入这些被屏蔽的网站时，就会转向http://www.××78p.com这个网站。被屏蔽的网站中，包括刚刚被盛大网络收购的原创中文网站“起点中文”等。

　　根据瑞星反病毒专家的分析，如果用户使用的是Windows 98操作系统，病毒会覆盖系统文件，导致用户不能正常关机，强行重启后系统完全崩溃。另外，此病毒采用了双进程保护，很难被清除。

　　来源：瑞星

“QQ连发器”及变种现身 携带恶意网页肆意传播
5月28日，瑞星全球反病毒监测网截获了利用QQ进行传播的木马病毒：“QQ 连发器”（Trojan.WebAuto、Trojan.WebAuto.a）,并进行了紧急升级，目前还未发现病毒的破坏作用。

    该病毒会偷偷藏在用户的系统中，发作时会寻找QQ窗口，每隔1分钟就给所有在线上的QQ好友发送诸如“快去这看看，里面有蛮好好东西-- ”之类的假消息，诱惑用户点击一个网站，如果有人信以为真点击该链接的话，就会被病毒无情感染，然后成为毒源，继续传播。

    据瑞星反病毒专家介绍，该病毒已于昨日开始在网络上蔓延，已有部分用户中招，希望广大用户尤其是QQ用户密切注意该病毒的动向，瑞星公司将会对该病毒继续追踪，将最新的消息公布，瑞星已于5月28日进行了病毒紧急升级，升级版本为15.37.01，希望用户尽快升级手中的反病毒软件，以防止该病毒在网络上传播。

    该病毒有如下具体特征：

    一、藏身系统目录，修改注册表自启动：

    病毒运行时会将自己拷贝于系统目录下命名为：WebAuto.exe，并且在注册表的： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中加入名为：WebAuto.exe 的病毒键值以便自启动。

    二、修改IE默认浏览首页

    病毒会将用户系统中的IE默认首页改为http://www.***.com，使用户一上网就中招。

    三、发送QQ虚假消息

    病毒会寻找QQ的发送消息窗口，给用户所有好友随机发送以下消息：

    1. "激情电影爽啊！给你也推荐一下，完全免费--"；

    2. "快去这看看，里面有蛮好好东西--"；

    3. "上次看了个网站不错，去看看吧--"；

    在这些消息之后还伴随着一个恶意网址诱骗用户点击。

    对计算机比较熟悉的用户可以按照以上病毒特征，手工清除该病毒，病毒对用户系统造成的影响，可以通过瑞星的免费注册表修复工具恢复正常，下载网址：http://it.rising.com.cn/service/technology/RegClean_download.htm。

    如遇到异常情况，请用户赶紧升级手中的瑞星杀毒软件2003版至15.37.01或使用瑞星在线杀毒，如果用户不方便出门，还可以从瑞星网站直接下载“瑞星杀毒软件2003下载版”查杀该病毒，也可以随时拨打瑞星反病毒急救电话：010-82678800进行咨询，瑞星反病毒专家将为您提供全方位的技术支持与服务！

MSN Messenger用户遭“Henpeck”蠕虫袭击
美国当地时间10月10日消息，国外一家杀毒软件公司10月10日发布一项安全公告称，一种名叫“Henpeck”的蠕虫正在MSN Messenger（微软网络即时通）用户之中传播。这种蠕虫利用MSN的聊天网络发送包含一个恶意在线文件链接的信息，这个文件名是“BR2002.exe”。用户点击这个链接就会下载这个文件并且意外地执行这个程序。然后，这个蠕虫就向受害人的好友名单中的每一个人发送即时信息。

    该公司在安全公告中说，这个信息的接收者不会自动感染上这种蠕虫。接收者只有点击那个文件的链接才能被感染上这种蠕虫。

    不过，这个恶意文件已经在网络中被删除了，有效地阻止了这个程序的传播。

    但是，受这种蠕虫感染的计算机可能已经被安装了一种“后门”程序。这个程序的文件名是“BKDR_EVILBOT.A”，能让网络破坏分子把受感染的计算机当作一个平台，向其它计算机或网络系统发动拒绝服务攻击。

    安全专家把“Henpeck”蠕虫列为五级病毒等级中的第二级。第五级表示爆发最严重的病毒。

“网络天空”已有57个变种 瑞星接到上万用户求助
据悉，前段时间已经趋于平息的“网络天空(Worm.Netsky)”病毒，近两周疫情又有所加重，据瑞星公司技术服务部数据统计，最近两周时间共收到关于该病毒的邮件和求救电话10031个。

    据瑞星反病毒专家介绍，该病毒之所以又死灰复燃，很大程度上是由于病毒产生的变种很多，而广大的电脑用户又不及时升级杀毒软件所致。从瑞星病毒资料库得到的统计数字表明，网络天空病毒从今年2月19日首次发作起，已经陆续产生了57个病毒变种。瑞星反病毒专家介绍，目前，很多用户都存在着一些错误认识，将原始病毒与后来出现的一些变种病毒混为一谈，认为一次性升级就可以对所有的变种病毒进行清除，从而降低了对这些病毒的警惕，导致了疫情的加重。

    据介绍，网络天空病毒家族的特性差都不多，病毒运行时会将自身隐藏在系统目录，删除一些反病毒软件的注册表项，使它们无法正常工作，病毒发作时，会产生大量的垃圾邮件，并在传播的过程中阻塞网络，造成用户上网速度变慢。

    如何才能彻底预防该病毒呢？瑞星反病毒专家提醒用户，首先是要及时升级自己的杀毒软件，最好能打开软件的自动升级功能，这样就可以保证软件随时处在最新的状态；其次是用户应该在平常工作中将实时监控尤其是邮件监控打开。

    如果用户手中没有杀毒软件，也可以到以下网址：http://it.rising.com.cn/service/technology/tool.htm下载病毒专杀工具来清除病毒，如果用户收到附件为快捷方式，并且有"Re: Re: Document"、"Re: Re: Thanks!"、"Re: Hi"、"Re: Hello"之类英文标题的邮件时，不要轻易打开，最好直接删除，以防止病毒被激活。

德国天才少年编写两种超级病毒 搅乱互联网成罪犯
制造出“震荡波”病毒、震荡了全世界的德国少年斯文·扬森正准备利用自己编写电脑病毒程序的经验，到反病毒机构谋份差事。另据一家计算机安全公司的统计，全球上半年的电脑病毒发作中，有70%都要归咎于这个斯文·扬森。

    7月底发布的最新一份电脑病毒报告称，上半年全球各地反病毒机构接收到的电脑病毒发作报告中，有70%都要归咎于现年18岁的斯文·扬森。

编写两种超级病毒

    今年5月1日，全世界上千万台电脑遭受了一种名为“震荡波”的病毒袭击。短短一周内，便有1800万台电脑瘫痪，损失难以计算。几天后，德国警方抓获了“震荡波”的设计者，竟然是一名刚满18岁的高中生斯文·扬森。

    斯文已经向警方承认，除了“震荡波”，还有一种肆虐互联网、名为“网络天空”的病毒也是他的“杰作”。

    最新报告中称，截止到7月21日，接到的电脑病毒发作报告中，有四分之一以上为斯文编写的“震荡波”病毒。位居第2、3、4位的还是斯文编写的3种“网络天空”病毒。统计表明，上半年全球的电脑病毒发作有7成都是由“震荡波”和“网络天空”及其变种病毒引起的。

    今年5月7日，警方把斯文从家中带走，并彻底搜查了他的卧室。短暂审讯后，警方暂时释放了斯文，随后以从事电脑“破坏活动”的罪名对其展开调查。

    媒体最初报道称，对斯文的法庭审讯将于6月展开。但不知何因，至今仍没有开始庭审。有报道称，如果从事电脑“破坏活动”的罪名成立，斯文可能受到最多5年的监禁。而且，斯文和他的家庭所要面对的索赔将是个天文数字，足以使他的家庭破产好几百次。德国一位法律专家说：“那些因为‘震荡波’而蒙受了时间和金钱损失的公司有权利向那名男孩提出赔偿要求。他可能得活到好几千岁，才能还清他所带来的潜在的损失。”

    不过，也有人认为，今年4月斯文才刚满18岁，而他之前编写这些病毒程序时仍属于不满18岁的未成年人，因此很可能逃脱法律的制裁。

    现在，斯文正打算“弃恶从善”。英国《每日电讯》4日报道说，斯文准备利用自己编写电脑病毒程序的经验，到反病毒机构谋份差事。只是不知道有没有公司敢用他。

落网时还是高中生

    今年5月7日晚，德国下萨克森州罗滕堡镇瓦芬森村的一所普通民居成了令人瞩目的“震源中心”。德国警方在屋子里展开了全面调查，对象就是制造出“震荡波”病毒，震荡了全球1800万台电脑的斯文·扬森。警方在他的电脑里发现了“震荡波”病毒的源代码，继而逮捕了斯文，并从他家中取走了全部电脑以便做进一步调查。

    警方重点搜查了斯文的卧室。卧室看起来和一般男孩子的没什么区别，卧室墙上张贴着美国歌星“小甜甜”布兰尼的宣传画。不过，就在“小甜甜”的下方，摆放着一台电脑和一个已经看不清标识的电脑接线端。警方还从卧室里搬出了数不清的光盘和软盘。

    斯文说，这台电脑是两年前从母亲那里得到的生日礼物。他就是在这里制造出独一无二的、“邪恶而又聪明异常”的病毒。而具有讽刺意味的是，他母亲在当地经营着一家电脑咨询公司。

    近日，斯文在接受一家德国媒体采访时说，他编写并传播这些电脑病毒是为了“赢得同龄人的尊重和羡慕。”“我的感觉就像是完成了一篇出色的论文。当我做的事在电视上报道时，感觉非常酷。只不过，有时候，半夜突然惊醒，我会想，呀！可能要有麻烦了。至于‘网络天空’的传播情况，我想是很恐怖的，现在我的同学们也觉得我很恐怖了。”

微软悬赏得来线索

    据德国新闻电视台报道，微软公司德国分公司电脑安全专家萨沙·汉克在汉诺威召开新闻发布会，详细介绍了抓住斯文的过程。他说，微软设立的奖金帮忙“揪”出了斯文。

    去年11月，微软公司设立了一个500万美元的奖励基金，用以奖励那些为抓捕病毒制造者提供线索的人。随后，微软从基金中拨出50万美元做悬赏，以捉拿“冲击波”和“大无极”病毒的制造者。今年1月29日，微软公司又宣布了一项25万美元的悬赏计划，以捉拿“Mydoom.B”电脑病毒的制造者。此次“震荡波”病毒爆发后，微软公司提供的赏金也是25万美元，而且很快就有了回音。

    5月5日晚上，第一个匿名电话打进微软德国分公司，那人在电话中首先询问了获得25万美元奖励的可能性。

    微软德国公司的副总裁布拉德·史密斯后来说：“微软的调查人员明确告诉那些打进电话的人说，如果他们提供的信息能够帮助警方辨认并抓到‘震荡波’的制造者，那他们将得到公司提供的25万美元奖赏。”

    在一番交谈之后，电话举报人向微软德国公司和地方政府透露了重要线索。随后，又有人提供了更多的线索。“在举报人提供线索之后的48小时之内，德国警方就找出了病毒的制造者，并将其逮捕归案。”布拉德·史密斯介绍说。

    布拉德·史密斯表示：“我们对这套机制和警方的行动速度非常满意。”他还说，一旦嫌疑人被定罪，公司将向举报人支付总共25万美元的奖金。

    微软公司并没有公布举报人的身份，但是，史密斯向媒体透露了两条关于举报人的线索。他说：“这些举报人非常清楚是谁制造了病毒。他们并不是仅仅通过技术分析手段找到制造者的。他们认识病毒制造者。除此以外，我们不能透露更多的讯息了。”

特别链接

“电脑毒王”损人害己

    破坏力很强的电脑病毒，大多由青少年制造。这些病毒让全球电脑用户、反病毒专家等高度紧张，可病毒制造者本人却往往浑然不觉。专家认为，虚拟世界里形成的不正常心态导致他们犯罪。

2003年“冲击波”病毒

　　2003年8月29日，美国联邦调查局逮捕了年仅18岁的杰弗里·李·帕森，他涉嫌制造了“冲击波”变种病毒，被控“有意危害或企图危害计算机安全罪”。美国媒体称帕森为“少年毒王”。

2002年Welsh病毒

    制造者西蒙2003年1月被英国判处两年的监禁，因为他传播了三种在世界上42个国家流行感染了27000台计算机的病毒。

2000年“库尔尼科娃”病毒

    “库尔尼科娃”病毒出自一名代号为“OnTheFly”的荷兰黑客之手。最后，荷兰警方逮捕了一名声称发明制造了这个病毒的电脑黑客，后判其监禁一年。

1999年“梅丽莎”病毒

    美国联邦法院2002年判决该病毒的制造者史密斯入狱20个月，以及包括5000美元罚款、参加社区服务、禁止使用电脑和因特网等的附加处罚。这是美国第一次对重要的电脑病毒制造者进行严厉惩罚。

1998年CIH病毒

    中国台湾黑客陈盈豪，他被捕后因为无人指控一直“逍遥法外”，但2001年因有人以电脑病毒受害者的身份提出控告，台湾警方将陈盈豪再次逮捕。