作者: EmilChau (灌篮高手让我想起上杉昇) 看板: Hate 标题: 干！原来msn的funny病毒是支那贱种写的！ 时间: Mon Oct 11 19:08:20 2004 以下是查到的病毒资料.... 一、病毒评估 1．病毒中文名：MSN骗子 2．病毒英文名：Worm.MSN.funny 3．病毒类型：蠕虫病毒 4．病毒危险等级：★★★★ 5．病毒传播途径：QQ/MSN 即时通讯工具 6．病毒依赖系统：Windows 9X/NT/2000/XP 二、病毒的破坏 1．在Windows 2000/XP系统下，病毒会修改系统档HOSTS，遮罩937个网站，使 用户登陆这些网站时会转向www.**78p.com，造成用户无法正常上网流览。 2．在Windows 98系统下，病毒会替换系统档Rundll32.exe，可能造成系统不 能关机，进而崩溃。 3．利用MSN、QQ疯狂发送广告资讯，诱骗用户登陆www.**78p.com网站。 4．向MSN、QQ好友发送"FUNNY.EXE"档，传播自身。 三、技术分析 1．该病毒使用Visual Basic语言编写，用ASPack2.12加过壳。 2．运行後，病毒会把自己复制到WINDOWS目录下，病毒档案名为"Rundll32.ex e"，再将自己拷贝几份到系统目录下，档案名分别为IEXPLORER.EXE，explorer.ex e。 3．修改注册表实现随机自启动。 4．病毒运行之後，几个进程会同时运行，形成双进程保护，在任务管理器里 很难结束。 5．向QQ、MSN好友发送"一家新开的酒吧，晚上聚聚，这里有介绍http://www. **78p.com,记得给我电话"，"朋友，多注意休息啊，可以到这里放松放松哦http:/ /www.**78p.com"，"我们也来俗一把如何，看MM去，http://www.**78p.com，够味 ！呵呵！"，"日本人在南京大屠杀的铁证!坚决抵制日货 http://www.**78p.com" ，"对中国威胁最大的十个国家!列表http://www.**78p.com"，"我见过最漂亮的视 频MM (不看可别後悔), http://www.**78p.com"，"《中国农民调查》页页血泪， 惊动中央 转自网易,http://www.**78p.com"。 6．向MSN、QQ好友发送名为FUNNY.EXE的档，这就是病毒。 7．如果用户使用WIN 2000/XP系统，病毒会修改HOSTS档，遮罩937个主流网站 ，使用户登陆这些网站时会自动转向http://www.**78p.com。 8．如果用户使用WIN 98系统，病毒会覆盖系统档Rundll32.exe，可能导致系 统异常。如果正在运行则不能正常关机，如果重启的话不能进入桌面，所有操作都 不能进行。 -- 离开我　最好在我爱到疯狂的时候　离开我　最好在你依然年轻的时候 离开我　最好现在离开我　离开我　最好你现在就走 离开我　最好在我爱到心痛的时候 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 220.135.39.197