綠盟MSN蠕蟲funny評測報告

·8月份10大病毒排行:Netsky蠕蟲仍居榜首·電纜故障通訊受阻 蠕蟲木馬乘機肆虐·QQ尾巴驚現Skype！竊密碼蠕蟲面世·謹防“魔鬼波”蠕蟲疫情暴發 江民發布·木馬與病毒 蠕蟲Rinbot家族增加新成員·蠕蟲·新年問候蠕蟲出現，提防上當·從用戶角度探討 解析並防范“蠕蟲”病·清除Linux系統上的蠕蟲程序Ramen·Sober蠕蟲變種再次發難　MSN和Hotmail 受影響的軟件及系統：

====================Microsoft Windows 95Microsoft Windows 98Microsoft Windows MEMicrosoft Windows NT 4Microsoft Windows 2000Microsoft Windows XPMicrosoft Windows 2003 綜述：======綠盟科技安全小組監測到互聯網上出現了一個利用MSN Messenger和QQ傳播的蠕蟲，目前在國內的傳播面比較大。由於該蠕蟲修改了重要的注冊表鍵值，不恰當地清除蠕蟲可能導致系統無法登陸。 分析：====== 該蠕蟲在系統上運行後，會進行以下動作： 1、將自身拷貝為：%SystemRoot%\rundll32.exe%SystemRoot%\system32\IEXPLORE.EXE%SystemRoot%\system32\explorer.exe%SystemRoot%\system32\userinit32.exe 2、修改注冊表，將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon下的“Userinit”修改為指向%SystemRoot%\system32\userinit32.exe。在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加運行%SystemRoot%\rundll32.exe的項。 3、修改%system32%\drivers\etc\hosts文件，將大量域名指向222.89.98.219，這樣，用戶訪問這些域名的時候，實際訪問的是222.89.98.219。 4、蠕蟲會同時運行自身的多個拷貝，如果其中一個進程被中止，則其余進程會立即將它再運行。 5、如果系統運行了QQ或者MSN Messenger，蠕蟲會向每一個聯系人發送一條消息，包括一句話和一個指向的鏈接，並試圖將自身以文件“funny.exe”傳輸。 解決方法：========== 預防： 如果您接收到包含的消息，和funny.exe的文件傳輸請求，請拒絕。 檢查是否被感染： 檢查系統中是否存在文件%SystemRoot%\system32\userinit32.exe，，如果存在，則說明可能已經被蠕蟲感染。 清除： 對於Windows 2000/XP，請按照下面步驟進行： 1、在命令提示符中輸入下列命令，將蠕蟲改名： ren %SystemRoot%\system32\IEXPLORE.EXE IEXPLORE.EXE.vir ren %SystemRoot%\system32\explorer.exe explorer.exe.vir ren %SystemRoot%\system32\userinit32.exe userinit32.exe.vir ren %SystemRoot%\rundll32.exe rundll32.exe.vir 2、修改注冊表，將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon 下的%SystemRoot%\system32\userinit32.exe修改為%SystemRoot%\system32\userinit.exe。 3、重啟系統 4、在命令提示符中輸入下列命令，刪除蠕蟲文件： del %SystemRoot%\system32\IEXPLORE.EXE.vir del %SystemRoot%\system32\explorer.exe.vir del %SystemRoot%\system32\userinit32.exe.vir del %SystemRoot%\system32\bsfirst2.log del %SystemRoot%\rundll32.exe.vir 4、修改注冊表，刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的"MMSystem"項。 5、在命令提示符中輸入下列命令，修復hosts文件： type %SystemRoot%\system32\drivers\etc\hosts|find /v "222.89.98.219" > hosts.tmp copy /Y hosts.tmp %SystemRoot%\system32\drivers\etc\hosts del hosts.tmp 如果已經不恰當地刪除了蠕蟲，並導致系統無法正常登陸。請按照如下步驟進行： 1、用Windows 2000（或者Windows XP/2003）安裝光盤引導系統，在“歡迎使用安裝程序”的 界面上按“R”鍵，選擇修復。 2、然後按“C”鍵選擇使用故障恢復控制台。 3、鍵入一個數字，選擇某個Windows 安裝，通常是“1”。然後輸入管理員密碼。 4、進入system32目錄，輸入命令： del userinit32.exe copy userinit.exe userinit32.exe 5、重啟系統，將上面介紹的清除蠕蟲的辦法再進行一遍。