MSN病毒

即时通讯所拥有的实时性、成本低、效率高等诸多优势，使之成为网民们最喜爱的网络沟通方式之一，但随着MSN等即时通讯用户呈几何级增长，老病毒新病毒纷纷“下海”，群指IM软件。

简介

揭秘IM病毒

病毒分析

简介

8月25日，国内最大的反病毒厂商江民科技发布了即时通讯病毒最新排行榜，QQ及MSN病毒几乎包揽了排行榜“十强”。

揭秘IM病毒

即时通讯(IM)类病毒主要是指通过即时通讯软件(如MSN、QQ等)向用户的联系人自动发送恶意消息或自身文件来达到传播目的的蠕虫等病毒。

IM类病毒通常有两种工作模式：一种是自动发送恶意文本消息，这些消息一般都包含一个或多个网址，指向恶意网页，收到消息的用户一旦点击打开了恶意网页就会从恶意网站上自动下载并运行病毒程序。另一种是利用即时通讯软件的传送文件功能，将自身直接发送出去，这也是时下流行的主模式。

第一个利用MSN传播的蠕虫是2001年4月被发现的I-Worm/Funny，第一个利用QQ自动发送恶意消息的病毒是2002年8月份的“爱情森林”。近年来，各种即时通讯软件层出不穷，在线用户的人数也呈爆炸式增长。

根据江民公司发布的2005年上半年十大病毒排行榜，即时通讯相关病毒已占据了一半席位，“QQ龟”病毒更是名列十大病毒之首。江民反病毒专家何公道认为，现在的即时通讯已经成为病毒传播的主渠道，一方面是因为即时用户群规模庞大并且持续快速增长，另一方面即时通讯用户对好友发送消息容易放松警惕，病毒成功的机率较高。何公道也进一步表示，今后两年即时通讯类病毒还会越来越多，甚至一些重大病毒也很可能集中利用即时通讯来扩大传播面。据悉，日前疯狂流窜互联网的“极速波”病毒也已出现开始通过即时通讯传播的变种。

据悉，这些IM病毒很会玩弄花招，名人、美女都是其利用手段。因此专家建议广大网友上网即时聊天时最好启用杀毒软件的实时监控及隐私保护功能，尤其不要下载陌生网友推荐的网页、软件和资料，即使是好友发送也应仔细询问，以免病毒感染或机密资料被盗。

MSN防范手记 手动清除chcp.exe病毒

病毒分析

该病毒属于MSN蠕虫变种，被感染的计算机会自动向MSN联系人发送诱惑文字消息和带毒压缩包，当对方接收并打开带毒压缩包中的病毒文件时，系统即成为新的受害者，并因此尝试感染另一台计算机。病毒大小为434,176 字节，通过MSN聊天工具进行传播。

被感染的计算机，病毒首先会在系统目录 %Windows%下生成含带病毒源体的F0538_jpg.zip压缩包，随后病毒自身开始在计算机中的%Windows%目录下创建副本chcp.exe 执行文件，并在注册表

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

分支下建立"chcp.exe"="%Windows%chcp.exe"自启动项目，然后病毒开始修改注册分支

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

下的"SFCDisable"=dword:ffffff9d 和"SFCScan"=dword:00000000值，进行关闭系统文件保护，并且更改

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl

分支下的 "WaitToKillServiceTimeout"=的值为"7000"，达到更改自动关闭进程等待时间的效果。

完成上述后，病毒仍没有安静的等待，而是查找被感染的计算机中是否存在FTP目录，如果有则将原正常程序改名为backup.ftp、backup.tftp并复制到%System%microsoft目录下，随后在系统目录%System%下写入ftp.exe、tftp.exe、dllcachetftp.exe、dllcacheftp.exe可执行程序，做完一系列的手脚，病毒开始向MSN联系人发送诱惑型文字消息，并夹带毒包F0538_jpg.zip欺骗用户打开。

清除方法

中了此毒的用户也不要紧张，在了解了生存原理后要想清除该病毒也非难事，只要按照以下几个步骤实施即可将病毒清除出界，让系统中的MSN正常运行。

一、首先要进入注册表分支

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

下，将"chcp.exe"="%Windows%chcp.exe"自建的随机启动项删除，完成后重启计算机。

二、进入%Windows%目录下将病毒源体文件chcp.exe及F0538_jpg.zip压缩包删除。

三、将目录%System%下的FTP破坏代替程序ftp.exe、tftp.exe、dllcachetftp.exe、dllcacheftp.exe删除，并将%System%microsoft目录下的backup.ftp、backup.tftp改回到目录%System%下。

四、删除注册表分支[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]下的"SFCDisable"=dword:00000000键值，恢复系统文件保护。

五、最后将注册表[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl]分支下的"WaitToKillServiceTimeout"=改为"20000" 从而恢复系统自动关闭进程等待时间的默认配置。

笔者按：在MSN病毒中变体有很多种如：MSN机器人、MSN小丑、MSN性感相册等，其原理都是利用MSN作为平台在同聊友沟通的同时发送病毒信息，通过MSN好友关系欺骗用户点击，然后再次传播，从而形成强大的传播途径。为了更好的处理此类病毒，这里建议用户加强计算机的先期保护如：开启杀软定时升库，安装安全类软件，不定期打入系统补丁等，并且多了解每日病毒动态，即时作好防范工作即可，一但用户被感染时应立即作出回应，利用手工删除或下载相应的专杀工具进行清理，以免让更多的用户成为受害者。

典型MSN病毒简介[b/]

1、病毒名称：I-Worm/DropBot

中文名：“MSN性感鸡”

病毒类型：蠕虫

影响平台：Windows NT/2000/XP

MSN性感鸡病毒I-Worm/MSN.DropBot是通过MSN传播的网络蠕虫，发作后向所有在线MSN联系人发送自身文件，并显示一张烧鸡图片，可以释放出“罗伯特”后门病毒，“罗伯特”病毒可以使用户系统可被黑客完全控制，成为“僵尸电脑”，并能够通过多种系统漏洞和弱口令传播，感染能力极强。其后续变种发作时，会显示美女或牙刷等图片。

2、病毒名称：I-Worm/MSN.Sofast

中文名：“MSN好快”

病毒类型：蠕虫

影响平台：Windows NT/000/XP

MSN好快病毒是通过MSN和P2P传播的网络蠕虫，发作后向所有在线MSN联系人发送自身文件。病毒还会屏蔽多数国外杀毒厂商的网站，使得电脑用户染毒后无法登陆。同时，病毒会结束多种杀毒软件和防火墙进程， 禁止注册表编辑器和任务管理器运行，通过复制到共享文件夹和P2P软件共享文件夹传播。

MSN病毒家簇透视

日前，一名为 “MSN小丑”的MSN病毒大面积爆发，再一次带出IM即时通信软件的安全问题。“MSN小丑”会自动向用户的MSN好友发送消息和病毒程序，并把900多家常用网站转向到某网站。MSN用户一旦中毒，系统将有崩溃的危险。这个病毒除了通过MSN传播外，还可能通过QQ传播。

MSN、QQ等即时通信软件成为人人必备的通信工具之时，也引导起了IM病毒的泛滥 ，"MSN小丑"爆发则是此类病毒危害的集中体现。据统计，这类病毒早在2003年就具有71%的增长幅度，发展速度之快让人始料不及。

MSN病家簇毒逐个数

2003年12月11日，江民截获Flooder.Msn.Convont，运行后发送的内容为：“今天我请你吃饭”或者“i love you, my baby”或者“I love you.darling”等，此类程序都是MSN恶作剧病毒虽然对系统没有破坏作用，但却能让人不胜其扰。

2004年4月出现的网络蠕虫“MSN射手”（MSN-Worm/Sinmsn.c）通过韩文版本的MSN Messenger进行传播，攻击了整个韩国全国的网络系统，这个病毒实际上是去年7月发现的一种“Sinmsn”病毒的变种。

2004年7月，江民公司截获“MSN轰炸机”（Flooder.MSN.Marry）病毒，病毒运行后会给MSN Messager中每个在线用户发送相同内容的消息，发送内容为“明天我结婚”， 与2003年12月Flooder.Msn.Convont病毒相似。

很快“轰炸机”病毒就有了新的变种——攻击机（Flooder.MSN.MsgSender）此恶作剧病毒运行后会给MSN Messager中每个在线用户发送相同内容的消息，发送内容为“今天我请你吃饭”。

如果说，以前出现的病毒，都是以恶作剧为主，并没有什么实质性的破坏力，那么这次爆发的“MSN小丑”病毒则是有史以来最厉害的MSN病毒。

对付MSN病毒需要以防为主

对于个人用户来讲，可以使用一些工具来对它进行防范。例如江民杀毒软件KV2005中有一项“即时通信监视”功能，就是专门监控过滤此类病毒，可以实时过滤扫描从MSN、QQ等即时通信工具传播的病毒，确保无毒聊天。它的使用方法非常简单，只要打开“实时监视”，选中“即时通信监视”即可。

此次 “MSN小丑”病毒爆发，笔者就亲身体现了此项功能的强大之处，一位中毒的好友发给我一个病毒文件，还没有进入硬盘之前，病毒即被全全过滤了。对于MSN等IM即时通信软件病毒，电脑用户除了平时要增强防范病毒意识，对通过即时通讯软件、邮箱等媒介传播的任何可执行程序文件（.exe .bat等），在未落实真实来源地和用途时，不要盲目打开。对不明来源的可执行程序立即删除，以防范于未然。

MSN病毒昨又出新变种大规模爆发，已有上万用户受感染。昨日下午，瑞星全球反病毒监测网截获一个快速传播的MSN病毒，并命名为“IRC波特变种BCG(Backdoor.Win32.IRCbot.Bcg)”病毒。瑞星反病毒工程师介绍说，该病毒侵入用户电脑后，会向MSN好友大量发送垃圾信息和病毒文件。昨天下午，向瑞星客户服务中心求助的中毒用户已有数百人，据估计实际中毒用户可能高达万人。

据瑞星技术部门分析，这个病毒就是之前预报的MSN病毒的新变种。该病毒会向好友发送:“NIHEWO　！！！....QING　KAN　:p(你和我！请看)”、“JIESHOU　WO　DE　ZHAO　PIAN　:o！！(接收我的照片！)”等汉语拼音版本的诱惑性信息，随后会试图发送一个以“photo”、“picture”等名称开头的压缩文件，用户接收运行后就会中毒。

“裸照”病毒借MSN爆发 可能危及信息安全

“病毒！大家别搭理我！”昨日（30日），不少MSN用户换上了类似的签名。一个以接收图片为诱饵，通过MSN自动传播的病毒昨日出现大规模爆发。杀毒软件公司提示，该病毒可能危及信息安全。

接收好友文件后电脑中毒

昨日下午2时许，亦庄一家外资公司内，做财务工作的陈小姐看到MSN上一位好友发来的压缩文件，她接收保存后打开文件，MSN不断弹出对话窗口，自动向在线联系人转发这个文件，并附上“ZHE SHIWODELUOZHAO（这是我的裸照）”等语句诱导对方接收。

陈小姐赶紧寻找相关的杀毒软件，并将MSN的签名改成“病毒！大家别搭理我！！”截至下午5时30分，陈小姐还在单位为电脑杀毒。她说，虽然电脑的其它功能未受影响，但仍担心工作资料的安全性。

昨日下午，一些电脑中毒的市民通过手机短信提醒朋友不要接收其发送的文件。

微软MSN提醒拒收可疑文件

昨晚，金山软件公司工作人员李先生介绍，这个病毒是“MSN机器人”的变种，可能会自动连接远程的IRC（Internet RelayChat，互联网中继聊天）服务器，窃取中毒电脑内的信息。

“相当于给电脑装了个后门。”李先生说，该病毒昨日出现大规模爆发的现象，金山公司当天超过1/3的客服热线是反映此事。金山毒霸当天下午已更新病毒库，即使已经中毒，也可以查杀，熟悉电脑的用户还可以手动删除。

李先生介绍，自MSN等聊天工具流行以来，通过其传播的病毒就不断出现，包括“性感烤鸡”等形式。他分析，这类病毒表现明显，容易防范，应该会“来得快去得也快”。

昨晚，微软MSN提醒用户注意网络安全，不要接收可疑文件，并建议用户在MSN内设置“接收文件后使用病毒扫描程序检测”。