最近关于MSN Messenger的新闻不断,先是传言微软即将关闭MSN Messenger服务,后来被证明是一场虚惊(实际上是关闭的MSN的网上聊天室)。接着一个通过MSN Messenger进行传播的蠕虫病毒──“MSN射手(Worm.Smibag)”横扫了韩国的网络系统,这也是首例通过MSN Messenger进行传播的恶性病毒。
病毒危害
“MSN射手”病毒是去年7月发现的“Sinmsn”病毒的变种。病毒发作时会通过MSN Messenger进行疯狂传播,并自动向用户MSN Messenger上的所有联系人发送文件,占用网络大量带宽,会造成网络连接速度变慢;此外,该病毒还会隔一段时间就自动打开IE窗口,同时链接8个黄色网站,大量占用系统资源,导致网络连接速度变慢,严重影响用户的正常网上工作。
传播方式
目前该病毒还只能通过韩文版MSN Messenger聊天软件进行传播,病毒运行时会搜索MSN按钮中韩文的“发送”字符串,然后利用MSN的传送文件功能自动给MSN Messenger中的所有联系人发送名为smb.exe或MsnVC.exe的病毒文件(如图),一旦MSN Messenger用户接收并执行该文件即会被感染。
虽然目前其他语种的MSN用户不会感染该病毒。但如同当年的求职信病毒一样,只要病毒开始泛滥就会很快出现新的通用的变种病毒,因此所有的MSN Messenger用户应该对该病毒提高警惕,谨慎提防。
感染症状
“MSN射手”病毒发作后会修改注册表,在其中添加注册表的启动项,以便开机后自启动。它首先会在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”中添加“svchost”=“C:\ADMAGIC.EXE”。并释放“uz.exe、ext.zip、admagic.exe、atl.dll、msnVC.exe、raw32x.dll、sm.dllworm、C:\admagic.exe、C:\smb.exe、C:\test.txt、aw32x.dll、sm.dll”文件至系统中。
病毒发作时会自动向MSN Messenger中的联系人发送病毒副本。病毒副本被病毒复制到系统的临时文件夹中,名字为:MsnVC.exe或smb.exe。
应对措施
1.由于该蠕虫病毒是通过MSN Messenger传送可执行文件来传播,所以MSN Messenger用户不要随意接收或打开任何通过MSN Messenger上朋友传来的可执行文件,特别是名为MsnVC.exe或smb.exe的文件。
2.已染毒的用户可手工清除该病毒,运行“regedit”,在注册表 “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”处删除“svchost”=“C:\ADMAGIC.EXE”字段。接着删除C盘根目录下的smb.exe、admagic.exe、test.txt三个文件和临时文件夹中的MsnVC.exe或smb.exe文件,并搜索删除uz.exe、atl.dll、raw32x.dll等文件。
3.手上有杀毒软件的用户,应该马上升级杀毒软件的病毒库,然后对系统进行全面查杀。