电脑中了MSN病毒images.zip winlog32.exe怎么办?

电脑中了MSN病毒images.zip winlog32.exe怎么办?

病毒名称:IM-Worm.Win32.Agent.f(Kaspersky)
病毒别名:Backdoor.Win32.Jusi.ab(瑞星)
病毒大小:40,960 字节
样本MD5:fc5415dc9054ee0934e3ff3e587de444
样本SHA1:c48246a83290fa05ae8362c1d30c0dff98281cf4
发现时间:2007.7
更新时间:2007.7
传播方式:通过MSN传播


技术分析
==========

变种:

MSN传播病毒Backdoor.Win32.IRCBot.acd解决方法
通过MSN传播的IRCBot photo album.zip rdshost.dll 解决方案
MSN传播病毒Backdoor.Win32.IRCBot.acd解决方法
MSN病毒firewallav.dllprinters.exe解决方案

这个MSN病毒变种在生成的文件和启动项形式上和以往不同,没有释放dll。病毒被运行后在系统目录生成包含自身副本的ZIP压缩文件:
%Windows%images.zip
压缩包内文件名是IMG+数字,扩展名是.pif,比如IMG34814.pif。

同时创建一个副本:
%Windows%winlog32.exe

创建启动项:


[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"MSN"="winlog32.exe"
试图使用c:a.bat批处理停止“安全中心”和“WinVNC”服务:


@echo off
net stop "Security Center"
net stop winvnc4
del c:a.bat
向MSN联系人发送消息和伪装成照片的带毒压缩包%Windows%images.zip:


LOL, you look so ugly in this picture, no joke...
Should I put this on facebook/myspace?
Hey m8, who is this on the right, in this picture...
Sup, seen the pictures from the other night?
当对方联系人接收并打开压缩包中的病毒文件时系统受感染。

尝试连接远程IRC接收远程攻击者指令:down.basecore.info

Mutex:ahfabbg


清除步骤
==========

1. 删除病毒的启动项(开始菜单-运行-输入“regedit”):


[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"MSN"="winlog32.exe"
2. 重新启动计算机

3. 删除病毒文件(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除):
%Windows%images.zip
%Windows%winlog32.exe