“MSN骗子”病毒

leewh23

0月10日，一个利用MSN滥发广告信息的病毒被截获，反病毒组织命名为“MSN骗子(Worm.msn.funny)”。10月10日，很多MSN Messenger用户向TOM科技发来信件，反映自己收到这样的消息：“日本人在南京大屠杀的铁证！坚决抵制日货！www.**78P.com”，随后收到一个“FUNNY.EXE”文件，自己运行此文件之后就会向所有线上好友发送上述信息。

       
　　据此，TOM科技联系了瑞星，据其介绍，该病毒的传播和感染速度非常快，在MSN用户中的传播速度甚至跟“冲击波”和“震荡波”病毒相当。有关人士介绍说，此病毒好像是一个网址大全类网站推广自己的伎俩，除了向MSN好友发送随机病毒信息这个显著特征之外，该病毒对用户系统的其他破坏性正在分析中。


　　目前，该事件已经上报公安部门，根据我国法律，制造、传播电脑病毒将承担法律责任。


　　针对此恶性病毒，预计国内反病毒厂商10月10日将进行紧急升级，此外，用户还可以随时拨打国内反病毒厂商急救电话



于10月10日下午4点，金山毒霸率先截获一个利用MSN Messenger传播的木马病毒，命名为“MSN小尾巴”(Troj.MSNTail)。该病毒仿照“QQ小尾巴”病毒的方法，先发送一条网站的广告消息，接着发一个病毒的复本，当用户不知情的情况下，运行了发送来的病毒复本，就会导致中毒。病毒在本机感染后会导致大量网站不可访问，非常恶毒。


　　该病毒利用MSN疯狂传播，已经另很多网友中招。仅金山毒霸全球监测网到目前就已经接到上百用户的求助，请用户注意不要轻易运行MSN上传来的程序。尤其是比较熟悉的好友发来的诸如“funny.exe”之类的程序。



上图为病毒自动发送的截图       
　　金山毒霸对此病毒已经进行了紧急处理，请毒霸用户升级病毒库到最新，可完全防止该病病毒感染机器。如果已经中毒，您可以退出MSN，然后用金山毒霸进行查杀。也可以进入安全状态下手工删除该病毒文件。


　　据金山反病毒工程师介绍：该病毒除了利用MSN传播以外，还会恶意修改系统文件，导至大量娱乐网址被重定向到另一个网址。病毒使用多进程互相监视的方法来保护自己，这样无疑加大了手工的清除难度。


10月10日被瑞星全球反病毒监测网率先截获的“MSN骗子”病毒，已经造成大规模的用户感染，值得注意的是，该病毒打破了单独依赖MSN进行传播的方式，还可以通过QQ传播，并可导致部分用户无法正常使用聊天软件。此外，“MSN骗子”还会屏蔽937个网站，对于Win98用户来说，甚至可能造成系统崩溃。


       
                       

　　瑞星公司反病毒部门负责人蔡骏介绍说，“MSN骗子(Worm.MSN.funny)”病毒同时感染MSN和QQ两种主流即时聊天软件，它传送名为“FUNNY.EXE”的文件，用户点击该文件后就会中毒。这种“双传播”技术使得病毒传播感染速度非常快，在短短的两个小时之内就在网上达到了传染高峰，传播速度可以和“震荡波”、“冲击波”相比。


　　根据瑞星技术部门的分析，用户被感染后，病毒会通过QQ和MSN发送“一家新开的酒吧，晚上聚聚，这里有介绍http://www.××78p.com，记得给我电话”，“对中国威胁最大的十个国家!列表http://www.××78p.com”，“《中国农民调查》页页血泪，惊动中央 转自网易http://www.××78p.com”，“我见过最漂亮的视频MM (不看可别后悔) http://www.××78p.com”等信息，并发送名为“FUNNY.EXE”的文件。


　　部分被感染用户的MSN和QQ聊天窗口会被隐藏，导致无法正常使用。瑞星反病毒专家蔡骏表示，QQ用户在接收到不明文件后，可以使用QQ内嵌的瑞星免费在线查毒工具进行扫描，然后再打开文件，或者登陆瑞星网站下载QQ病毒专杀工具。


　　蔡骏介绍说，除了会发送这些信息之外，如果用户使用的是Windows 2000/XP操作系统，病毒会修改系统文件，屏蔽937个主流网站，当用户输入这些被屏蔽的网站时，就会转向http://www.××78p.com这个网站。被屏蔽的网站中，包括刚刚被盛大网络收购的原创中文网站“起点中文”等。


　　根据瑞星反病毒专家的分析，如果用户使用的是Windows 98操作系统，病毒会覆盖系统文件，导致用户不能正常关机，强行重启后系统完全崩溃。另外，此病毒采用了双进程保护，很难被清除。