I-Worm/MSN.DropBot

病毒名称：I-Worm/MSN.DropBot

中 文 名：MSN幽灵

病毒长度：159744字节，119296字节

病毒类型：网络蠕虫

危害等级：★★★

影响平台：Win 9x/2000/XP/NT/Me

2005年1月20日，江民反病毒中心截获一个通过MSN传播的蠕虫病毒I-Worm/MSN.DropBot“MSN幽灵”。该病毒可释放出“罗伯特”后门病毒的最新变种Backdoor/RBot.yi。“罗伯特”病毒家族及其近亲Backdoor/Agobot家族可以使用户系统可被黑客完全控制，成为“僵尸电脑”。并能够通过多种系统漏洞和弱口令传播，感染能力极强。2004年江民公司截获该类病毒近3000个变种。此次最新变种增加通过MSN传播的功能，感染性更胜以前。

I-Worm/MSN.DropBot“MSN幽灵”运行后，自动向用户所有MSN好友发送带毒文件。阻止cmd.exe和taskmgr.exe运行，禁止鼠标右键，手工清除该病毒的难度很大。释放“罗伯特”病毒最新变种程序oms.exe。oms.exe运行后，会将自身复制到%SystemDir%\\lexplore.exe（119296字节），并在注册表启动项

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices]

中添加："lexplore" = "lexplore.exe"

以实现病毒程序的开机自启。和以前变种类似，病毒程序lexplore.exe会通过微软的WebDav漏洞、冲击波漏洞、震荡波漏洞和管理员帐号弱口令等途径传播。并利用IRC侦听黑客命令，使被感染计算机完全被黑客控制，成为“僵尸电脑”。