赛迪网 > IT技术 热点推荐 > 文章
  IT资讯搜索
 
IT产品搜索
[程序开发][网管世界][网络安全][数据库技术]
[操作系统][嘉宾聊天·在线访谈][活动集锦]
[精彩专题][Symantec专区][订阅IT技术周刊]
[开发论坛][网管论坛][安全论坛][数据库论坛]
[操作系统论坛][Sybase专区][IBM dW技术专区]
[病毒求助][病毒与漏洞播报][文档·源码下载]

MSN病毒档案:“MSN好快”

发布时间:2007.06.14 17:38     来源:赛迪网    作者:赛迪网

病毒名称 I-Worm/MSN.Sofast

病毒中文名 “MSN好快”

病毒类型 网络蠕虫

危险级别 ★★★

影响平台 Win 9x/2000/XP/NT/Me/2003

该病毒英文名称为“SOFAST”,用户在接收了在线好友发过来的后缀名为.pif的文件并点击后,机器会变得运行缓慢,同时还会向其他好友不断发送同一病毒。该病毒运行后,将会在系统目录下建立多达18种病毒文件。修改注册表使自己使WINDOWS启动时一起运行。病毒还会屏蔽多数国外杀毒厂商的网站,使得电脑用户染毒后无法登陆。同时,病毒会结束多种杀毒软件和防火墙进程,禁止注册表编辑器和任务管理器运行。通过复制到共享文件夹和P2P软件共享文件夹传播,可能的文件名为Messenger Plus!3.50.exe.病毒发作后,还会打开网页c:\crazy-frog. html,并连接到一名为hxxp:// frog.0catch.com/的网站。

描述:2005年3月7日,江民反病毒中心截获一个通过MSN和P2P软件快速传播的蠕虫病毒I-Worm/MSN.Sofast。

1. 通过MSN向用户好友发送病毒文件,可能的文件名如下: 

MSLARISSA.pif 
CmdPrompt32.pif 
SP00Lsv32.pif 
LOVE_LETTER_FOR_YOU.pif 
WinVBS.vbs 
MESSAGE_TO_BROPIA.txt 
Hey LARISSA fuck off, you fucking n00b!.. Bla bla to your fucking 
Crazy frog gets killed by train!.pif 
Annoying crazy frog getting killed.pif 
See my lesbian friends.pif 
LOL that ur pic!.pif 
My new photo!.pif 
Me on holiday!.pif 
The Cat And The Fan piccy.pif 
How a Blonde Eats a Banana...pif 
Mona Lisa Wants Her Smile Back.pif 
Topless in Mini Skirt! lol.pif 
Fat Elvis! lol.pif

2. 病毒运行后,将创建下列文件: 

%SystemDir%\serbw.exe, 17429字节 
%SystemDir%\formatsys.exe, 17429字节 
%WinDir%\msmbw.exe, 17429字节 
c:\crazy-frog.html, 745字节 
c:\lspt.exe, 17429字节 
c:\crazy frog gets killed by train!.pif, 17429字节 
c:\annoying crazy frog getting killed.pif, 17429字节 
c:\see my lesbian friends.pif, 17429字节 
c:\lol that ur pic!.pif, 17429字节 
c:\my new photo!.pif, 17429字节 
c:\me on holiday!.pif, 17429字节 
c:\the cat and the fan piccy.pif, 17429字节 
c:\how a blonde eats a banana...pif, 17429字节 
c:\mona lisa wants her smile back.pif, 17429字节 
c:\topless in mini skirt! lol.pif, 17429字节 
c:\fat elvis! lol.pif, 17429字节 
c:\jennifer lopez.scr, 17429字节 
c:\message to n00b larissa.txt, 156字节

其中c:\message to n00b larissa.txt内容如下: 

Hey LARISSA fuck off, you fucking n00b!.. Bla bla to your fucking 
Saving the world from Bropia, the world n33ds saving from you! ’-S-K-Y-’-D-E-V-I-L-’

3. 在注册表中添加下列启动项: 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 
"serpe" = %SystemDir%\serbw.exe 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"serpe" = %SystemDir%\serbw.exe 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] 
"serpe" = %SystemDir%\serbw.exe 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 
"serpe" = %SystemDir%\serbw.exe

这样,在Windows启动时,病毒就可以自动执行。

4. 修改%SystemDir%\drivers\etc\hosts文件,屏蔽多个反病毒网站: 

64.233.167.104 www.symantec.com 
64.233.167.104 www.sophos.com 
64.233.167.104 www.mcafee.com 
64.233.167.104 www.viruslist.com 
64.233.167.104 www.f-secure.com 
64.233.167.104 www.avp.com 
64.233.167.104 www.kaspersky.com 
64.233.167.104 www.networkassociates.com 
64.233.167.104 www.ca.com 
64.233.167.104 www.my-etrust.com 
64.233.167.104 www.nai.com 
64.233.167.104 www.trendmicro.com 
64.233.167.104 www.grisoft.com 
64.233.167.104 securityresponse.symantec.com 
64.233.167.104 symantec.com 
64.233.167.104 sophos.com 
64.233.167.104 mcafee.com 
64.233.167.104 liveupdate.symantecliveupdate.com 
64.233.167.104 viruslist.com 
64.233.167.104 f-secure.com 
64.233.167.104 kaspersky.com 
64.233.167.104 kaspersky-labs.com 
64.233.167.104 avp.com 
64.233.167.104 networkassociates.com 
64.233.167.104 ca.com 
64.233.167.104 mast.mcafee.com 
64.233.167.104 my-etrust.com 
64.233.167.104 download.mcafee.com 
64.233.167.104 dispatch.mcafee.com 
64.233.167.104 secure.nai.com 
64.233.167.104 nai.com 
64.233.167.104 update.symantec.com 
64.233.167.104 updates.symantec.com 
64.233.167.104 us.mcafee.com 
64.233.167.104 liveupdate.symantec.com 
64.233.167.104 customer.symantec.com 
64.233.167.104 rads.mcafee.com 
64.233.167.104 trendmicro.com 
64.233.167.104 grisoft.com 
64.233.167.104 sandbox.norman.no 
64.233.167.104 www.pandasoftware.com 
64.233.167.104 uk.trendmicro-europe.com

5. 结束多种杀毒软件和防火墙进程。

6. 禁止注册表编辑器和任务管理器运行。

7. 通过复制到共享文件夹和P2P软件共享文件夹传播,可能的文件名为Messenger Plus! 3.50.exe。

8. 打开网页c:\crazy-frog.html,连接http://frog.0catch.com/网站。


[ 发表评论 ] 字体[  ] [ 打印 ] [ 进入博客 ] [ 进入论坛 ]  [ 推荐给朋友 ]
  相关文章
· MSN病毒档案:“MSN饽饽”变种g (06-14) · MSN病毒档案:“MSN鬼脸” (06-14)
· MSN病毒档案:MSN小丑 (06-14) · MSN删友服务查询网站"现身" 凸显信任危机 (06-14)
· 王志东欲借IM翻身 放言明年用户数超MSN (06-14) · 预警:RWX黑客病毒近期活跃 用户要严加防范 (06-14)
· 杀毒软件遭遇病毒攻击 用户应该及时查杀 (06-14) · 实战全记录:安全专家清除AV终结者病毒 (06-13)
· 安全专家实战清除利用映象劫持技术病毒 (06-13) · “惊天大盗”注入系统进程窃取游戏账号 (06-13)
  客户需求反馈表
* 姓  名:
更多资料  了解方案  认识厂商
* 单位名称:
* 联系电话:
* 电子邮件:
  赛迪推荐  
  手机·资费 ·新品·导购·评测·手机资费·宽带
手机搜索  诺基亚 N73 MOTO Z6
  IT产品 ·笔记本·台式机·服务器·打印·投影
IT产品搜索 
  IT技术 ·开发·网管·安全·数据库·操作系统
  信息化 ·热点·专题·访谈·周刊·方案案例
[政务][电信][金融][农业][制造业][中小企业]
[CIO][ERP][协同][IT管理][中间件][电子商务]
[政策][地方][专家][评估][辞典][博客][社区]
· 专题:一路畅通构想曲——让出行不再遭遇堵车
· CIO工作亲历:企业ERP选型不能忽视"选人关"
· 综述:信息化建设给中国监狱带来的各种变化
· 金融业风险管理和法规遵从有五点需考虑的因素
· 保险业CIO关注:该如何建立统一高效的CRM体系
· 调查显示:多数CIO对IT规划仍存在困惑和误解
  博客·论坛 ·曾剑秋·项立刚·Java学习·网管