国家计算机病毒应急处理中心通过对互联网的监测,发现了通过MSN进行传播的一种蠕虫病毒“MSN肉鸡”(Worm_Bropia.F)
,应急中心对该病毒进行了分析处理发现,蠕虫运行后,会在系统目录下释放自身的副本和一个IRCBot程序,该程序是“高波”病毒的一个已知变种。
截止到2005年2月4日11时,应急中心汇总统计“MSN肉鸡”的传播情况,感染的计算机数量超过1万台,其中接到的电话和邮件,企业数量约占到30%,个人用户约70%。地区涉及北京、天津、上海、广东、福建、陕西等多个地区,总体来讲,大城市和南方的数量略高,这与MSN用户群的分布有直接的关系。
该蠕虫仍然运用了社会工程学,迷惑用户下载运行图片感染病毒,尤其对于一些企业,公司内部使用MSN进行交流和通讯,彼此间已建立了一定的信任,所以很容易中招。因此在发作初期还是形成了一定范围的影响。
但由于该病毒的传播途径单一,病毒应急响应体系成员积极配合,响应及时,有效对该蠕虫进行了处理、发布和产品的升级,感染数量有大幅度的回落,该蠕虫的传播已经基本上得到控制。
用户要了解该病毒的主要特征,避免病毒的感染和进一步的传播,做好防范措施。
蠕虫详细信息如下:
病毒名称:“MSN肉鸡”(Worm_Bropia.F)
其它命名:Worm/MSN.DropBot.b(江民)
Worm.MSNLoveMe.b188928(金山)
worm.msn.chicken(瑞星)
WORM_BROPIA.F(趋势)
Win32/Bropia.worm.188928(安博士)
W32.Bropia.J(Symantec)
病毒类型:蠕虫
病毒大小:188,928字节
受影响系统:Win9x/WinMe/WinNT/Win2000/WinXP
病毒特性:
该蠕虫主要通过MSN进行传播,病毒会自动获取被感染的MSN中的联系人,并将自身发送给他们,MSN联系人会收到一幅图片,点击它就会显示一幅烤鸡的图片,同时感染系统。蠕虫运行后,会在系统目录下释放自身的副本和一个IRCBot程序,该程序是“高波”病毒的一个已知变种。感染该变种后,机器就有可能会被恶意用户控制,恶意用户可以通过IRC服务器操纵被感染的系统,并对文件、进程等执行操作,也可以向指定的目标发动攻击等操作。从而形成进一步的危害。
1、生成文件
蠕虫运行后,会在%System%目录下生成RUNDLL32.EXE文件及自身拷贝,分别为:
msnus.exe
winhost.exe (其中,%System%在Windows 95/98/Me
下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows
XP下为
C:\Windows\System32)
蠕虫在C盘根目录下生成sexy.jpg,并在Web窗口显示一个烤鸡的图片。
蠕虫在C盘根目录下生成多个自身的拷贝,名称可能为LOL.scr、Webcam.pif、bedroom-thongs.pif、naked_drunk.pif、LMAO.pif、ROFL.pif、underware.pif、Hot.pif、new_webcam.pif。
2、修改注册表项
病毒添加注册表项,使得自身能够在系统启动时自动运行,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run下添加
win32="winhost.exe";
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices下添加win32="winhost.exe"
HKEY_CURRENT_USER\Software\Microsoft\OLE下添加
win32="winhost.exe"
3、通过MSN传播
蠕虫会利用被感染机器里的MSN,向该用户的MSN联系人发送自身的副本,形成进一步的传播和扩散。
专家提醒:
1、对于使用OICQ、MSN等的用户,对于发送过来的链接和文件,不要随便点击和下载,应在确认真实可靠后再进行相应的操作。一旦遭受感染,被感染机器应断开网络再进行相应处理,避免进一步的传播和扩散。
2、
现在,很多网络病毒就通过猜测简单密码的方式对系统进行攻击,因此建议用户使用复杂的密码,降低被病毒破译密码的可能性,提高计算机系统的安全系数。
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心
网 址:Http://www.antivirus-China.org.cn
电 话:022-66211488/66211489/66211490 转 8017
传 真:022-66211487
电子邮件:sos@antivirus-China.org.cn
security@tj.cnuninet.net