利用MSN进行传播的病毒“MSN肉鸡”(Worm

利用MSN进行传播的病毒“MSN肉鸡”(Worm_Bropia.F)

http://www.wxdn.net 2005年02月16日来源/作者：国家计算机病毒应急处理中心

国家计算机病毒应急处理中心于2005年2月3日接到用户报告，出现通过MSN传播的蠕虫Worm_Bropia.F ，应急中心对该病毒进行了分析处理,并将其命名为“MSN肉鸡”，蠕虫运行后，会在系统目录下释放自身的副本和一个IRCBot程序，该程序是“高波”病毒的一个已知变种，感染该变种后，机器就有可能会被恶意用户控制，恶意用户可以通过IRC服务器操纵被感染的系统，并对文件、进程等执行操作，也可以向指定的目标发动攻击等操作。从而形成进一步的危害。但一些公司局域网内部人员会使用MSN进行交流，一旦其中一人感染，就有可能导致网络内部多人感染。根据试行的“计算机病毒疫情分级准则”，该病毒级别为三级。病毒的详细报告见下。

病毒名称：“MSN肉鸡”(Worm_Bropia.F)

其它命名：Worm/MSN.DropBot.b（江民）
              Worm.MSNLoveMe.b188928（金山）
              worm.msn.chicken（瑞星）
              WORM_BROPIA.F（趋势）
              Win32/Bropia.worm.188928（安博士）
              W32.Bropia.J（Symantec）

病毒类型：蠕虫

病毒大小：188，928字节

受影响系统：Win9x/WinMe/WinNT/Win2000/WinXP

病毒特性：

该蠕虫主要通过MSN进行传播，病毒会自动获取被感染的MSN中的联系人，并将自身发送给他们，MSN联系人会收到一幅图片，点击它就会显示一幅烤鸡的图片，同时感染系统。蠕虫运行后，会在系统目录下释放自身的副本和一个IRCBot程序，该程序是“高波”病毒的一个已知变种，会通过微软的多个漏洞和管理员帐号弱口令等途径进行传播，感染该变种后，机器就有可能会被恶意
用户控制，恶意用户可以通过IRC服务器操纵被感染的系统，并对文件、进程等执行操作，也可以向指定的目标发动攻击等操作。从而形成进一步的危害。

用户要了解该病毒的主要特征，避免病毒的感染和进一步的传播，做好防
范措施。

1、生成文件

蠕虫运行后,会在%System%目录下生成RUNDLL32.EXE文件及自身拷贝，分别为：msnus.exe（188,928字节，蠕虫自身的副本）winhost.exe （124,426字节，IRCBot程序）（其中，%System%在Windows 95/98/Me 下为C:\Windows\System，在WindowsNT/2000下为C:\Winnt\System32，在Windows XP下为 C:\Windows\System32）蠕虫在C盘根目录下生成sexy.jpg，并在Web窗口显示一个烤鸡的图片。图片如图示：

蠕虫在C盘根目录下生成多个自身的拷贝，名称可能为LOL.scr、Webcam.pif、bedroom-thongs.pif、naked_drunk.pif、LMAO.pif、ROFL.pif、underware.pif、Hot.pif、new_webcam.pif

2、修改注册表项

病毒添加注册表项，使得自身能够在系统启动时自动运行，在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加
win32="winhost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\RunServices下添加

win32="winhost.exe"

HKEY_CURRENT_USER\Software\Microsoft\OLE下添加

win32="winhost.exe"

3、通过MSN传播

蠕虫会利用被感染机器里的MSN，向该用户的MSN联系人发送自身的副本，形成进一步的传播和扩散。传播情况如图示：

4、其中在系统目录下生成的IRCBot程序Winhost.exe，是“高波”病毒的一个已知变种，部分杀毒软件可以对其进行识别和清除，其名称如下：
Backdoor/rbot.zl（江民）
Win32.Hack.rbot.124416（金山）
Backdoor.Sdbot.apt（瑞星）
WORM_AGOBOT.AJC（趋势）

该蠕虫可通过网络共享和微软操作系统的漏洞进行传播。蠕虫在系统文件夹下生成自身副本，修改注册表，使自身能随系统启动自动传播。蠕虫在被感染的电脑上打开后门，用以接受恶意用户发出的指令。恶意用户可以通过IRC服务器操纵被感染的系统，并执行其发出的指令，如下载文件、运行文件、结束进程、向指定的目标发动攻击等操作。

解决方案：

目前，瑞星、趋势、安博士、江民、金山、冠群金辰、卡巴斯基公司已经提供了该病毒的解决方案，并对产品进行了升级。

趋势公司专杀工具
http://support.trendmicro.com.cn/2005/Anti-Virus/Tools/for-clean/special/WORM_BROPIA.F/TSC.zip

博士公司winhost.exe 程序的专杀工具
http://www.ahn.com.cn/download/company_award.asp

手工清除该病毒的相关操作

1、终止病毒进程

在Windows 9x/ME系统，同时按下CTRL+ALT+DELETE，在Windows NT/2000/XP系统中，同时按下CTRL+SHIFT+ESC，选择“任务管理器——〉进程”，选中正在运行的进程“msnus.exe”、“winhost.exe”，并终止其运行。

2、注册表的恢复

点击“开始——〉运行”，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ，并删除面板右侧的win32="winhost.exe"依次双击左侧的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices，并删除面板右侧的win32="winhost.exe"

依次双击左侧的HKEY_CURRENT_USER\Software\Microsoft\OLE，并删除面板右侧的win32="winhost.exe"

3、删除病毒释放的文件

点击“开始——〉查找——〉文件和文件夹”，查找文件“msnus.exe”、“winhost.exe”，并将其删除，查找文件“sexy.jpg”，并将其删除，查找Ｃ盘下大小为188,928字节的pif和scr文件，并将其删除。

4、运行杀毒软件，对系统进行全面的病毒查杀

精彩推荐