警惕新MSN病毒 不要接收img807.zip文件

昨天一朋友的MSN中招，發來個新的附件，附件為img807.zip，查看該壓縮包，發現一完整文件名為img807.jpg-，千萬別雙擊哦。這是最新的MSN機器人病毒，病毒名為Win32.Troj.MsnBot.ce.86528。珠海引擎組的兄弟說，該病毒有利用MSN傳播的代碼，但是代碼中並沒有調用，因此不會象前幾次MSN機器人病毒一樣，不會引發大面積的傳播。但同時，他提醒說，這個病毒有可能出現更新的版本。

該病毒主要會釋放一個IRC後門，接受黑客遠程指令。病毒會關閉windows 安全中心服務，在虛擬機中拒絕運行，以此逃避被部分反病毒業余愛好者檢測分析。

以下是該病毒的詳細分析報告：

1.拷貝自己與釋放文件

病毒運行後，會把自己拷貝到系統目錄下

%Windows%\\vpcrtf.exe

並加入一個zip頭保存自己

%Windows%\\img807.zip

2.添加自啟動

病毒會添加自啟動

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run Microsoft Virsual Application = vpcrtf.exe

3.連接IRC

病毒會連接IRC，，接受黑客指令

IRC地址為vpn.base****.info

接受指令：

ERROR PRIVMSG KICK TOPIC 332 366 005 376 422 433

4.發送本機信息

病毒會嘗試向IRC發送受感染機器的信息，如IP、機器名等。

5.關閉服務

病毒會關閉服務名為Security Center與 winvnc4的服務。

6.反虛擬機

病毒使用了利用了3種方法反虛擬機，當檢測到虛擬機時就直接退出。