转贴自http://forum.icst.org.tw/phpBB2/viewtopic.php?t=12474 行政院 国家资通安全会报 - 技术服务中心 - 资安论坛 http://forum.icst.org.tw/ MSN 「相片」木马扫描解毒程式 技术分析： MSN 蠕虫目前又有新变种传播，传播图例如下： (Embedded image moved to file: pic19169.jpg) 中毒用户会向 MSN 好友发送「hey you got a photo album? anyways heres my new photo album?」 或者「Nice new photos of me and my friends and stuff and when i was young lol...!!」之而此类的 英文消息，并会传送「photos.zip」压缩文件。如果用户接收并运行该文件，就会 中毒。 该 zip 文件解压缩後如下图所示： (Embedded image moved to file: pic15724.jpg) 运行流程： 该蠕虫运行後，会向 Windows 目录下复制一个自己 zip 文件的副本，并且向 system32 目录下写入一 个 S 开头的 Dll 文件，并且注册为 com 组件，这样每次启动电器，该组件就会自 动插入到系统进程 并运行，所以用户很难找到并删除该文件，唯一表现现象就是在 MSN 上疯狂向好友 发送病毒文件， 大量消耗系统资源和网络带宽。同时该蠕虫给黑客留下了後门，黑客可以轻易窃取 用户电脑内的资料， 所以对个人和企业用户危害相当大。 清除截图： (Embedded image moved to file: pic11478.jpg) 解决方案： 1. 木马清除大师用户直接升级到 2007.6.2 日病毒库即可彻底清除。 2. 下载木马清除大师专杀工具几秒钟即可清除。 3. 不要轻易在MSN上接收好友发过来的莫名其妙的文件。 木马清除大师 - 「MSN照片」蠕虫专杀工具： http://www.lofocus.com/MsnWormKill.exe --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 140.115.216.63