基本介紹
- 中文名:性感雞變種i
- 外文名:Worm.MSNLoveme.i
- 處理時間:2005-03-16
- 病毒類型:蠕蟲
簡介,修復,結束,
簡介
威脅級別:★★
影響系統:Win9x / WinNT
修復
調用IE打開的html如下:
1.複製自身到系統目錄%System32%下:
csnss.exe
mcsv.com
2.複製自身到%SystemRoot%下:
svhost.exe
LARISSA you muppet.txt
3.在系統盤根目錄下創建以下檔案:
D:\l0ser.Html
D:\Death of crazy frog!.pif
D:\Hot babe!.pif
D:\Really Cute.pif
D:\My piccy.pif 24KB
D:\Bungee-Fuck.pif
D:\I_love_you.123greetings.com.com
D:\Paris Hilton Sex Tape.pif
D:\Shoot Bill Gates!.exe
D:\Best_Friend.scr
D:\lol Busted Are Gay!.pif
D:\Saddam Song!.pif
D:\Me at the Beach!.pif
4.修改註冊表使自身隨計算機啟而自動運行
NDAv = "%System32%\csnss.exe"
SDAv = "%System32%\mcsv.com.exe"
HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = "%System32%\userinit.exe,D:\WINNT\system32\mcsv.com"
DisableConfig = 00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
DisableSR = 00000001
6. 修改MSN接收檔案查毒選項
HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger
AVEnbl = 00000000
結束
8.結束安全軟體和禁止運行一些系統程式(如:任務管理器,msconfig.exe等):
9.向MSN好友傳送病毒檔案
10.通網路已分享資料夾(如eMule)傳播自身,可能的檔案名稱如下:
MSN Messenger 7 patch!.exe
CE/DP Stealer 2.exe
MSN Avatar Display Pack 1.0.exe
