MSN病毒

8月25日，國內最大的反病毒廠商江民科技發布了即時通訊病毒最新排行榜，QQ及MSN病毒幾乎包攬了排行榜“十強”。

即時通訊(IM)類病毒主要是指通過即時通訊軟體(如MSN、QQ等)向用戶的聯繫人自動傳送惡意訊息或自身檔案來達到傳播目的的蠕蟲等病毒。

IM類病毒通常有兩種工作模式：一種是自動傳送惡意文本訊息，這些訊息一般都包含一個或多個網址，指向惡意網頁，收到訊息的用戶一旦點擊打開了惡意網頁就會從惡意網站上自動下載並運行病毒程式。另一種是利用即時通訊軟體的傳送檔案功能，將自身直接傳送出去，這也是時下流行的主模式。

第一個利用MSN傳播的蠕蟲是2001年4月被發現的I-Worm/Funny，第一個利用QQ自動傳送惡意訊息的病毒是2002年8月份的“愛情森林”。近年來，各種即時通訊軟體層出不窮，線上用戶的人數也呈爆炸式增長。

根據江民公司發布的2005年上半年十大病毒排行榜，即時通訊相關病毒已占據了一半席位，“QQ龜”病毒更是名列十大病毒之首。江民反病毒專家何公道認為，現在的即時通訊已經成為病毒傳播的主渠道，一方面是因為即時用戶群規模龐大並且持續快速增長，另一方面即時通訊用戶對好友傳送訊息容易放鬆警惕，病毒成功的機率較高。何公道也進一步表示，今後兩年即時通訊類病毒還會越來越多，甚至一些重大病毒也很可能集中利用即時通訊來擴大傳播面。據悉，日前瘋狂流竄網際網路的“極速波”病毒也已出現開始通過即時通訊傳播的變種。

據悉，這些IM病毒很會玩弄花招，名人、美女都是其利用手段。因此專家建議廣大網友上網即時聊天時最好啟用防毒軟體的實時監控及隱私保護功能，尤其不要下載陌生網友推薦的網頁、軟體和資料，即使是好友傳送也應仔細詢問，以免病毒感染或機密資料被盜。

MSN防範手記 手動清除chcp.exe病毒

該病毒屬於MSN蠕蟲變種，被感染的計算機會自動向MSN聯繫人傳送誘惑文字訊息和帶毒壓縮檔，當對方接收並打開帶毒壓縮檔中的病毒檔案時，系統即成為新的受害者，並因此嘗試感染另一台計算機。病毒大小為434,176 位元組，通過MSN聊天工具進行傳播。

被感染的計算機，病毒首先會在系統目錄 %Windows%下生成含帶病毒源體的F0538_jpg.zip壓縮檔，隨後病毒自身開始在計算機中的%Windows%目錄下創建副本chcp.exe 執行檔案，並在註冊表

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

分支下建立"chcp.exe"="%Windows%chcp.exe"自啟動項目，然後病毒開始修改註冊分支

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

下的"SFCDisable"=dword:ffffff9d 和"SFCScan"=dword:00000000值，進行關閉系統檔案保護，並且更改

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl

分支下的 "WaitToKillServiceTimeout"=的值為"7000"，達到更改自動關閉進程等待時間的效果。

完成上述後，病毒仍沒有安靜的等待，而是查找被感染的計算機中是否存在FTP目錄，如果有則將原正常程式改名為backup.ftp、backup.tftp並複製到%System%microsoft目錄下，隨後在系統目錄%System%下寫入ftp.exe、tftp.exe、dllcachetftp.exe、dllcacheftp.exe可執行程式，做完一系列的手腳，病毒開始向MSN聯繫人傳送誘惑型文字訊息，並夾帶毒包F0538_jpg.zip欺騙用戶打開。

清除方法

中了此毒的用戶也不要緊張，在了解了生存原理後要想清除該病毒也非難事，只要按照以下幾個步驟實施即可將病毒清除出界，讓系統中的MSN正常運行。

一、首先要進入註冊表分支

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

下，將"chcp.exe"="%Windows%chcp.exe"自建的隨機啟動項刪除，完成後重啟計算機。

二、進入%Windows%目錄下將病毒源體檔案chcp.exe及F0538_jpg.zip壓縮檔刪除。

三、將目錄%System%下的FTP破壞代替程式ftp.exe、tftp.exe、dllcachetftp.exe、dllcacheftp.exe刪除，並將%System%microsoft目錄下的backup.ftp、backup.tftp改回到目錄%System%下。

四、刪除註冊表分支[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]下的"SFCDisable"=dword:00000000鍵值，恢復系統檔案保護。

五、最後將註冊表[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl]分支下的"WaitToKillServiceTimeout"=改為"20000" 從而恢復系統自動關閉進程等待時間的默認配置。

筆者按：在MSN病毒中變體有很多種如：MSN機器人、MSN小丑、MSN性感相冊等，其原理都是利用MSN作為平台在同聊友溝通的同時傳送病毒信息，通過MSN好友關係欺騙用戶點擊，然後再次傳播，從而形成強大的傳播途徑。為了更好的處理此類病毒，這裡建議用戶加強計算機的先期保護如：開啟殺軟定時升庫，安裝安全類軟體，不定期打入系統補丁等，並且多了解每日病毒動態，即時作好防範工作即可，一但用戶被感染時應立即作出回應，利用手工刪除或下載相應的專殺工具進行清理，以免讓更多的用戶成為受害者。

典型MSN病毒簡介[b/]

1、病毒名稱：I-Worm/DropBot

中文名：“MSN性感雞”

病毒類型：蠕蟲

影響平台：Windows NT/2000/XP

MSN性感雞病毒I-Worm/MSN.DropBot是通過MSN傳播的網路蠕蟲，發作後向所有線上MSN聯繫人傳送自身檔案，並顯示一張燒雞圖片，可以釋放出“羅伯特”後門病毒，“羅伯特”病毒可以使用戶系統可被黑客完全控制，成為“殭屍電腦”，並能夠通過多種系統漏洞和弱口令傳播，感染能力極強。其後續變種發作時，會顯示美女或牙刷等圖片。

2、病毒名稱：I-Worm/MSN.Sofast

中文名：“MSN好快”

病毒類型：蠕蟲

影響平台：Windows NT/000/XP

MSN好快病毒是通過MSN和P2P傳播的網路蠕蟲，發作後向所有線上MSN聯繫人傳送自身檔案。病毒還會禁止多數國外防毒廠商的網站，使得電腦用戶染毒後無法登入。同時，病毒會結束多種防毒軟體和防火牆進程， 禁止註冊表編輯器和任務管理器運行，通過複製到已分享檔案夾和P2P軟體已分享檔案夾傳播。

MSN病毒家簇透視

日前，一名為 “MSN小丑”的MSN病毒大面積爆發，再一次帶出IM即時通信軟體的安全問題。“MSN小丑”會自動向用戶的MSN好友傳送訊息和病毒程式，並把900多家常用網站轉向到某網站。MSN用戶一旦中毒，系統將有崩潰的危險。這個病毒除了通過MSN傳播外，還可能通過QQ傳播。

MSN、QQ等即時通信軟體成為人人必備的通信工具之時，也引導起了IM病毒的泛濫 ，"MSN小丑"爆發則是此類病毒危害的集中體現。據統計，這類病毒早在2003年就具有71%的增長幅度，發展速度之快讓人始料不及。

MSN病家簇毒逐個數

2003年12月11日，江民截獲Flooder.Msn.Convont，運行後傳送的內容為：“今天我請你吃飯”或者“i love you, my baby”或者“I love you.darling”等，此類程式都是MSN惡作劇病毒雖然對系統沒有破壞作用，但卻能讓人不勝其擾。

2004年4月出現的網路蠕蟲“MSN射手”（MSN-Worm/Sinmsn.c）通過韓文版本的MSN Messenger進行傳播，攻擊了整個韓國全國的網路系統，這個病毒實際上是去年7月發現的一種“Sinmsn”病毒的變種。

2004年7月，江民公司截獲“MSN轟炸機”（Flooder.MSN.Marry）病毒，病毒運行後會給MSN Messager中每個線上用戶傳送相同內容的訊息，傳送內容為“明天我結婚”， 與2003年12月Flooder.Msn.Convont病毒相似。

很快“轟炸機”病毒就有了新的變種——攻擊機（Flooder.MSN.MsgSender）此惡作劇病毒運行後會給MSN Messager中每個線上用戶傳送相同內容的訊息，傳送內容為“今天我請你吃飯”。

如果說，以前出現的病毒，都是以惡作劇為主，並沒有什麼實質性的破壞力，那么這次爆發的“MSN小丑”病毒則是有史以來最厲害的MSN病毒。

對付MSN病毒需要以防為主

對於個人用戶來講，可以使用一些工具來對它進行防範。例如江民防毒軟體KV2005中有一項“即時通信監視”功能，就是專門監控過濾此類病毒，可以實時過濾掃描從MSN、QQ等即時通信工具傳播的病毒，確保無毒聊天。它的使用方法非常簡單，只要打開“實時監視”，選中“即時通信監視”即可。

此次 “MSN小丑”病毒爆發，筆者就親身體現了此項功能的強大之處，一位中毒的好友發給我一個病毒檔案，還沒有進入硬碟之前，病毒即被全全過濾了。對於MSN等IM即時通信軟體病毒，電腦用戶除了平時要增強防範病毒意識，對通過即時通訊軟體、信箱等媒介傳播的任何可執行程式檔案（.exe .bat等），在未落實真實來源地和用途時，不要盲目打開。對不明來源的可執行程式立即刪除，以防範於未然。

MSN病毒昨又出新變種大規模爆發，已有上萬用戶受感染。昨日下午，瑞星全球反病毒監測網截獲一個快速傳播的MSN病毒，並命名為“IRC波特變種BCG(Backdoor.Win32.IRCbot.Bcg)”病毒。瑞星反病毒工程師介紹說，該病毒侵入用戶電腦後，會向MSN好友大量傳送垃圾信息和病毒檔案。昨天下午，向瑞星客戶服務中心求助的中毒用戶已有數百人，據估計實際中毒用戶可能高達萬人。

據瑞星技術部門分析，這個病毒就是之前預報的MSN病毒的新變種。該病毒會向好友傳送:“NIHEWO　！！！....QING　KAN　:p(你和我！請看)”、“JIESHOU　WO　DE　ZHAO　PIAN　:o！！(接收我的照片！)”等漢語拼音版本的誘惑性信息，隨後會試圖傳送一個以“photo”、“picture”等名稱開頭的壓縮檔案，用戶接收運行後就會中毒。

“裸照”病毒借MSN爆發 可能危及信息安全

“病毒！大家別搭理我！”昨日（30日），不少MSN用戶換上了類似的簽名。一個以接收圖片為誘餌，通過MSN自動傳播的病毒昨日出現大規模爆發。防毒軟體公司提示，該病毒可能危及信息安全。

接收好友檔案後電腦中毒

昨日下午2時許，亦莊一家外資公司內，做財務工作的陳小姐看到MSN上一位好友發來的壓縮檔案，她接收保存後打開檔案，MSN不斷彈出對話視窗，自動向線上聯繫人轉發這個檔案，並附上“ZHE SHIWODELUOZHAO（這是我的裸照）”等語句誘導對方接收。

陳小姐趕緊尋找相關的防毒軟體，並將MSN的簽名改成“病毒！大家別搭理我！！”截至下午5時30分，陳小姐還在單位為電腦防毒。她說，雖然電腦的其它功能未受影響，但仍擔心工作資料的安全性。

昨日下午，一些電腦中毒的市民通過手機簡訊提醒朋友不要接收其傳送的檔案。

微軟MSN提醒拒收可疑檔案

昨晚，金山軟體公司工作人員李先生介紹，這個病毒是“MSN機器人”的變種，可能會自動連線遠程的IRC（Internet RelayChat，網際網路中繼聊天）伺服器，竊取中毒電腦內的信息。

“相當於給電腦裝了個後門。”李先生說，該病毒昨日出現大規模爆發的現象，金山公司當天超過1/3的客服熱線是反映此事。金山毒霸當天下午已更新病毒庫，即使已經中毒，也可以查殺，熟悉電腦的用戶還可以手動刪除。

李先生介紹，自MSN等聊天工具流行以來，通過其傳播的病毒就不斷出現，包括“性感烤雞”等形式。他分析，這類病毒表現明顯，容易防範，應該會“來得快去得也快”。

昨晚，微軟MSN提醒用戶注意網路安全，不要接收可疑檔案，並建議用戶在MSN內設定“接收檔案後使用病毒掃描程式檢測”。