“可樂”和WORM

趨勢科技3今天同時發布兩個中度風險病毒警報，自學教程，繼昨天下午“飛梭”病毒 “WORM_FATSO.A”大面積侵襲MSN用戶後，又一新的蠕蟲病毒“可樂””WORM_KELVIR.B”病毒也同時向MSN發起進攻。

由於“飛梭”病毒的多樣化危害表現，該病毒已經形成了一定規模的感染。趨勢科技於3月7日下午率先提供了對應的專殺工具。請及時到下面的地址下載：

同時導致全球病毒警報的病毒“可樂”WORM_KELVIR.B同樣利用MSN進行傳播。該常駐內存的病毒通過MSN Messenger復制自身拷貝傳播。該病毒嘗試從受感染的系統向所有在線的MSN messenger 用戶發送即使消息。該消息誘使用戶點擊一個下載鏈接，並導致另一只病毒Worm_SDBOT.AUK進入用戶的系統。

趨勢科技全球防毒研發暨技術支持中心 TrendLabs 分析指出，本次同時出現兩只病毒同時利用MSN傳播，而且這兩只病毒都具備多樣化的損害能力，此種現象確實少見。從傳播渠道看，這兩個病毒都主要利用MSN，5自學網，發作時會自動向所有在線的MSN聯系人發送含有病毒拷貝的消息，使用如下的文件名誘惑用戶點擊下載：

Crazy frog gets killed by train!.pif

Fat Elvis! lol.pif

How a Blonde Eats a Banana...pif

Jennifer Lopez.scr

LOL that ur pic!.pif

Me on holiday!.pif

Mona Lisa Wants Her Smile Back.pif

My new photo!.pif

See my lesbian friends.pif

The Cat And The Fan piccy.pif

Topless in Mini Skirt! lol.pif

而一旦疏於防范的用戶選擇 “接受”下載了該病毒，屏幕會馬上出現一個IE窗口，並嘗試顯示一個HTML格式圖片；由於這個文件自身的問題，IE會提示用戶圖片無法正常顯示，而病毒則利用這個機會完成了對系統的感染。

“飛梭”病毒會在系統的根目錄下生成一個名為“Message to n00b LARISSA.txt”的文本文件，該文本文件含有如下內容：

“Hey LARISSA fuck off, you fucking n00b!.. Bla bla to your fucking

Saving the world from Bropia, the world n33ds saving from you!

'-S-K-Y-'-D-E-V-I-L-'”

“飛梭”病毒具備主動終止內存中的進程的能力，其攻擊對象包含了大多數防病毒程序；通過改寫系統中的“Hosts”文件，該病毒能夠導致用戶訪問防病毒公司的網站尋求病毒碼升級服務，或了解病毒相關信息時，會被引導到錯誤的網絡位置，出現網站不可訪問的結果。

為了增加病毒體在用戶系統中存活的時間，該病毒還通過改寫Windows注冊表，開啟了“系統還原”功能，將病毒文件寫入到備份分區，利用Windows系統對備份分區的保護，逃避防病毒軟件的查殺操作，並在用戶選擇還原操作時悄悄潛返系統中再次發作。