MSN病毒

8月25日，國內最大的反病毒廠商江民科技發佈了即時通訊病毒最新排行榜，QQ及MSN病毒幾乎包攬了排行榜“十強”。

即時通訊(IM)類病毒主要是指通過即時通訊軟件(如MSN、QQ等)向用户的聯繫人自動發送惡意消息或自身文件來達到傳播目的的蠕蟲等病毒。

IM類病毒通常有兩種工作模式：一種是自動發送惡意文本消息，這些消息一般都包含一個或多個網址，指向惡意網頁，收到消息的用户一旦點擊打開了惡意網頁就會從惡意網站上自動下載並運行病毒程序。另一種是利用即時通訊軟件的傳送文件功能，將自身直接發送出去，這也是時下流行的主模式。

第一個利用MSN傳播的蠕蟲是2001年4月被發現的I-Worm/Funny，第一個利用QQ自動發送惡意消息的病毒是2002年8月份的“愛情森林”。近年來，各種即時通訊軟件層出不窮，在線用户的人數也呈爆炸式增長。

根據江民公司發佈的2005年上半年十大病毒排行榜，即時通訊相關病毒已佔據了一半席位，“QQ龜”病毒更是名列十大病毒之首。江民反病毒專家何公道認為，現在的即時通訊已經成為病毒傳播的主渠道，一方面是因為即時用户羣規模龐大並且持續快速增長，另一方面即時通訊用户對好友發送消息容易放鬆警惕，病毒成功的機率較高。何公道也進一步表示，今後兩年即時通訊類病毒還會越來越多，甚至一些重大病毒也很可能集中利用即時通訊來擴大傳播面。據悉，日前瘋狂流竄互聯網的“極速波”病毒也已出現開始通過即時通訊傳播的變種。

據悉，這些IM病毒很會玩弄花招，名人、美女都是其利用手段。因此專家建議廣大網友上網即時聊天時最好啓用殺毒軟件的實時監控及隱私保護功能，尤其不要下載陌生網友推薦的網頁、軟件和資料，即使是好友發送也應仔細詢問，以免病毒感染或機密資料被盜。

MSN防範手記 手動清除chcp.exe病毒

該病毒屬於MSN蠕蟲變種，被感染的計算機會自動向MSN聯繫人發送誘惑文字消息和帶毒壓縮包，當對方接收並打開帶毒壓縮包中的病毒文件時，系統即成為新的受害者，並因此嘗試感染另一台計算機。病毒大小為434,176 字節，通過MSN聊天工具進行傳播。

被感染的計算機，病毒首先會在系統目錄 %Windows%下生成含帶病毒源體的F0538_jpg.zip壓縮包，隨後病毒自身開始在計算機中的%Windows%目錄下創建副本chcp.exe 執行文件，並在註冊表

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

分支下建立"chcp.exe"="%Windows%chcp.exe"自啓動項目，然後病毒開始修改註冊分支

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

下的"SFCDisable"=dword:ffffff9d 和"SFCScan"=dword:00000000值，進行關閉系統文件保護，並且更改

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl

分支下的 "WaitToKillServiceTimeout"=的值為"7000"，達到更改自動關閉進程等待時間的效果。

完成上述後，病毒仍沒有安靜的等待，而是查找被感染的計算機中是否存在FTP目錄，如果有則將原正常程序改名為backup.ftp、backup.tftp並複製到%System%microsoft目錄下，隨後在系統目錄%System%下寫入ftp.exe、tftp.exe、dllcachetftp.exe、dllcacheftp.exe可執行程序，做完一系列的手腳，病毒開始向MSN聯繫人發送誘惑型文字消息，並夾帶毒包F0538_jpg.zip欺騙用户打開。

清除方法

中了此毒的用户也不要緊張，在瞭解了生存原理後要想清除該病毒也非難事，只要按照以下幾個步驟實施即可將病毒清除出界，讓系統中的MSN正常運行。

一、首先要進入註冊表分支

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

下，將"chcp.exe"="%Windows%chcp.exe"自建的隨機啓動項刪除，完成後重啓計算機。

二、進入%Windows%目錄下將病毒源體文件chcp.exe及F0538_jpg.zip壓縮包刪除。

三、將目錄%System%下的FTP破壞代替程序ftp.exe、tftp.exe、dllcachetftp.exe、dllcacheftp.exe刪除，並將%System%microsoft目錄下的backup.ftp、backup.tftp改回到目錄%System%下。

四、刪除註冊表分支[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]下的"SFCDisable"=dword:00000000鍵值，恢復系統文件保護。

五、最後將註冊表[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl]分支下的"WaitToKillServiceTimeout"=改為"20000" 從而恢復系統自動關閉進程等待時間的默認配置。

筆者按：在MSN病毒中變體有很多種如：MSN機器人、MSN小丑、MSN性感相冊等，其原理都是利用MSN作為平台在同聊友溝通的同時發送病毒信息，通過MSN好友關係欺騙用户點擊，然後再次傳播，從而形成強大的傳播途徑。為了更好的處理此類病毒，這裏建議用户加強計算機的先期保護如：開啓殺軟定時升庫，安裝安全類軟件，不定期打入系統補丁等，並且多瞭解每日病毒動態，即時作好防範工作即可，一但用户被感染時應立即作出迴應，利用手工刪除或下載相應的專殺工具進行清理，以免讓更多的用户成為受害者。

典型MSN病毒簡介[b/]

1、病毒名稱：I-Worm/DropBot

中文名：“MSN性感雞”

病毒類型：蠕蟲

影響平台：Windows NT/2000/XP

MSN性感雞病毒I-Worm/MSN.DropBot是通過MSN傳播的網絡蠕蟲，發作後向所有在線MSN聯繫人發送自身文件，並顯示一張燒雞圖片，可以釋放出“羅伯特”後門病毒，“羅伯特”病毒可以使用户系統可被黑客完全控制，成為“殭屍電腦”，並能夠通過多種系統漏洞和弱口令傳播，感染能力極強。其後續變種發作時，會顯示美女或牙刷等圖片。

2、病毒名稱：I-Worm/MSN.Sofast

中文名：“MSN好快”

病毒類型：蠕蟲

影響平台：Windows NT/000/XP

MSN好快病毒是通過MSN和P2P傳播的網絡蠕蟲，發作後向所有在線MSN聯繫人發送自身文件。病毒還會屏蔽多數國外殺毒廠商的網站，使得電腦用户染毒後無法登陸。同時，病毒會結束多種殺毒軟件和防火牆進程， 禁止註冊表編輯器和任務管理器運行，通過複製到共享文件夾和P2P軟件共享文件夾傳播。

MSN病毒家簇透視

日前，一名為 “MSN小丑”的MSN病毒大面積爆發，再一次帶出IM即時通信軟件的安全問題。“MSN小丑”會自動向用户的MSN好友發送消息和病毒程序，並把900多家常用網站轉向到某網站。MSN用户一旦中毒，系統將有崩潰的危險。這個病毒除了通過MSN傳播外，還可能通過QQ傳播。

MSN、QQ等即時通信軟件成為人人必備的通信工具之時，也引導起了IM病毒的泛濫 ，"MSN小丑"爆發則是此類病毒危害的集中體現。據統計，這類病毒早在2003年就具有71%的增長幅度，發展速度之快讓人始料不及。

MSN病家簇毒逐個數

2003年12月11日，江民截獲Flooder.Msn.Convont，運行後發送的內容為：“今天我請你吃飯”或者“i love you, my baby”或者“I love you.darling”等，此類程序都是MSN惡作劇病毒雖然對系統沒有破壞作用，但卻能讓人不勝其擾。

2004年4月出現的網絡蠕蟲“MSN射手”（MSN-Worm/Sinmsn.c）通過韓文版本的MSN Messenger進行傳播，攻擊了整個韓國全國的網絡系統，這個病毒實際上是去年7月發現的一種“Sinmsn”病毒的變種。

2004年7月，江民公司截獲“MSN轟炸機”（Flooder.MSN.Marry）病毒，病毒運行後會給MSN Messager中每個在線用户發送相同內容的消息，發送內容為“明天我結婚”， 與2003年12月Flooder.Msn.Convont病毒相似。

很快“轟炸機”病毒就有了新的變種——攻擊機（Flooder.MSN.MsgSender）此惡作劇病毒運行後會給MSN Messager中每個在線用户發送相同內容的消息，發送內容為“今天我請你吃飯”。

如果説，以前出現的病毒，都是以惡作劇為主，並沒有什麼實質性的破壞力，那麼這次爆發的“MSN小丑”病毒則是有史以來最厲害的MSN病毒。

對付MSN病毒需要以防為主

對於個人用户來講，可以使用一些工具來對它進行防範。例如江民殺毒軟件KV2005中有一項“即時通信監視”功能，就是專門監控過濾此類病毒，可以實時過濾掃描從MSN、QQ等即時通信工具傳播的病毒，確保無毒聊天。它的使用方法非常簡單，只要打開“實時監視”，選中“即時通信監視”即可。

此次 “MSN小丑”病毒爆發，筆者就親身體現了此項功能的強大之處，一位中毒的好友發給我一個病毒文件，還沒有進入硬盤之前，病毒即被全全過濾了。對於MSN等IM即時通信軟件病毒，電腦用户除了平時要增強防範病毒意識，對通過即時通訊軟件、郵箱等媒介傳播的任何可執行程序文件（.exe .bat等），在未落實真實來源地和用途時，不要盲目打開。對不明來源的可執行程序立即刪除，以防範於未然。

MSN病毒昨又出新變種大規模爆發，已有上萬用户受感染。昨日下午，瑞星全球反病毒監測網截獲一個快速傳播的MSN病毒，並命名為“IRC波特變種BCG(Backdoor.Win32.IRCbot.Bcg)”病毒。瑞星反病毒工程師介紹説，該病毒侵入用户電腦後，會向MSN好友大量發送垃圾信息和病毒文件。昨天下午，向瑞星客户服務中心求助的中毒用户已有數百人，據估計實際中毒用户可能高達萬人。

據瑞星技術部門分析，這個病毒就是之前預報的MSN病毒的新變種。該病毒會向好友發送:“NIHEWO　！！！....QING　KAN　:p(你和我！請看)”、“JIESHOU　WO　DE　ZHAO　PIAN　:o！！(接收我的照片！)”等漢語拼音版本的誘惑性信息，隨後會試圖發送一個以“photo”、“picture”等名稱開頭的壓縮文件，用户接收運行後就會中毒。

“裸照”病毒借MSN爆發 可能危及信息安全

“病毒！大家別搭理我！”昨日（30日），不少MSN用户換上了類似的簽名。一個以接收圖片為誘餌，通過MSN自動傳播的病毒昨日出現大規模爆發。殺毒軟件公司提示，該病毒可能危及信息安全。

接收好友文件後電腦中毒

昨日下午2時許，亦莊一家外資公司內，做財務工作的陳小姐看到MSN上一位好友發來的壓縮文件，她接收保存後打開文件，MSN不斷彈出對話窗口，自動向在線聯繫人轉發這個文件，並附上“ZHE SHIWODELUOZHAO（這是我的裸照）”等語句誘導對方接收。

陳小姐趕緊尋找相關的殺毒軟件，並將MSN的簽名改成“病毒！大家別搭理我！！”截至下午5時30分，陳小姐還在單位為電腦殺毒。她説，雖然電腦的其它功能未受影響，但仍擔心工作資料的安全性。

昨日下午，一些電腦中毒的市民通過手機短信提醒朋友不要接收其發送的文件。

微軟MSN提醒拒收可疑文件

昨晚，金山軟件公司工作人員李先生介紹，這個病毒是“MSN機器人”的變種，可能會自動連接遠程的IRC（Internet RelayChat，互聯網中繼聊天）服務器，竊取中毒電腦內的信息。

“相當於給電腦裝了個後門。”李先生説，該病毒昨日出現大規模爆發的現象，金山公司當天超過1/3的客服熱線是反映此事。金山毒霸當天下午已更新病毒庫，即使已經中毒，也可以查殺，熟悉電腦的用户還可以手動刪除。

李先生介紹，自MSN等聊天工具流行以來，通過其傳播的病毒就不斷出現，包括“性感烤雞”等形式。他分析，這類病毒表現明顯，容易防範，應該會“來得快去得也快”。

昨晚，微軟MSN提醒用户注意網絡安全，不要接收可疑文件，並建議用户在MSN內設置“接收文件後使用病毒掃描程序檢測”。