江民发布MSN“性感相册”蠕虫病毒技术分析报告

2007年6月1日，51CTO记者从江民公司反病毒中心获悉，一个新的利用MSN即时聊天工具传播的蠕虫病毒正在大范围传播，中毒电脑会通过MSN自动向外发送带毒文件，同时成为僵尸电脑。

详细的病毒分析如下：

病毒名称：Worm/MSN.SendPhoto.a

中 文 名：性感相册

病毒类型：蠕虫

危害等级：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

病毒运行特征：

病毒运行后，将创建下列文件：

%WinDir%\photos.zip, 479382字节

%SystemDir%\syshosts.dll, 22016字节

在注册表中添加下列启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

ShellServiceObjectDelayLoad]

"syshosts" = {71b1b601-4599-40ff-a283-73fc3c7de863}

这样，在Windows启动时，病毒就可以自动执行。 其中syshosts.dll 文件会注入到当前所有进程中。

该病毒运行时，会通过MSN即时聊天工具向MSN上的好友发送大小为479382 字节的photos.zip 病毒包，该压缩包里面包含名为photos album-2007-5-26.scr病毒文件，同时会随机向好友发送以下语句：

its only my photos!

Here are my private pictures for you

Here are my pictures from my vacation

My friend took nice photos of me.you Should see em loL!

Nice new photos of me and my friends and stuff and when i was young lol...

Nice new photos of me!! :p

Check out my sexy boobs :D

hey regarde mes tof!! :p

ma soeur a voulu que tu regarde ca!

hey regarde les tof, c'est moi et mes copains entrain de.... :D

j'ai fais pour toi ce photo album tu dois le voire :)

tu dois voire ces tof

mes photos chaudes :D

c'est seulement mes tof :p

zijn enige mijn foto's

wanna Hey ziet mijn nieuw fotoalbum?

indigde enkel nieuw fotoalbum! :)

hey keurt mijn nieuw fotoalbum goed.. :p

het voor yah, doend beeldverhaal van mijn leven lol..

en Fotos ! :p

le mie foto calde :p

mis fotos calientes

病毒以此来引诱用户点击，当用户接收该ZIP压缩包后，如果双击运行里面的文件，就会成为一个新的病毒传播源。中毒电脑将会连接远程的IRC服务器，接收黑客远程控制，成为僵尸网络。

建议用户当遇到以上情况时，不要接收该文件。已中毒用户请将KV2007杀毒软件病毒库升级到最新版本，开启所有监控功能，并且全盘查杀即可彻底清除该病毒。没有安装杀毒软件的用户，可以下载江民MSN性感相册专杀工具对电脑进行全盘查杀。

江民MSN“性感相册”病毒专杀下载： http://download.jiangmin.info/jmsoft/MSNPhotoKiller.exe