最新MSN蠕虫病毒分析报告

　　安天CERT小组在20050203日截获到一MSN蠕虫，我们命名为IM-Worm.Win32.Webcam.a，该蠕虫在03日感染节点迅速增多，流行趋势极为明显。

　　我们已经进行了分析，并命名为IM-Worm.Win32.Webcam.a，下面是蠕虫基本特征：

　　一、基本特征：

　　名称：IM-Worm.Win32.Webcam.a
　　原始大小：188,928字节
　　压缩形式：PESpin
　　编写语言：Microsoft Visual Basic 6.0

　　该蠕虫运行后，会疯狂向MSN好友发送消息并将自身发送给MSN好友，传送时采用随即文件名，扩展名可能为.SCR/.EXE/.PIF等。

　　如下:

　　LMAO.pif
　　LOL.scr
　　naked_drunk.pif

　　二、行为分析：

　　1、蠕虫运行后，会将释放一个名为 CZ.EXE 文件到C盘跟跟目录，并将它拷贝到%system%下，名为：winhost.exe. 将文件属性设置为隐藏、只读、系统，同时将该文件创建时间改成同系统文件日期一样，进行欺骗迷惑。

　　同时蠕虫会在C盘跟目录随即生成一个文件，扩展名为.PIF/.EXE等，该文件用来向MSN好友传播。

　　同时在%system%下生成msnus.exe，该文件为蠕虫自身拷贝。

　　2、将自身加入到注册表启动项目保证自身在系统重启动后被加载，

　　SoftwareMicrosoftWindowsCurrentVersionRun
　　键名：win32
　　键值：winhost.exe

　　SoftwareMicrosoftWindowsCurrentVersionRunServices
　　键名：win32
　　键值： winhost.exe

　　3、蠕虫会在C盘跟目录生成一个图片文件，名字为：sexy.jpg，并调用关联程序打开，一般为IE打开该图片，打开后效果如图1。

图1

　　4、开启本地 TCP10xx端口，频繁连接目标：10.0.1.128:8080，接受黑客控制。

　　5、查找MSN窗口，如果存在，则向好友列表中发送消息传播自身。

　　三、清除方案：

　　手工清除需要按照上面的行为分析，终止删除相关进程文件，修复注册表。

　　请各位木马防线用户紧急升级到最新病毒库，可以全面查杀该蠕虫!

　　用户可以避免接MSN上发来的陌生附件，包括扩展名为.EXE .SCR等附件，来预防该蠕虫。