camay。可果美的天空

一切都是剛好，前天原本以為好友MSN時要傳送資料給我...剛好我們平常有在看花草圖鑑，檔名取個PHOTO也不覺得奇怪，但重點是阿哥是用英文跟我對話這讓我好奇起來，以為他不能打中文，另存新檔後用英文發問，才發現可以打中文，但阿哥的電腦怪怪的，還提醒剛剛的附加檔案先萬別打開(他擔心是病毒....其實偶剛剛當露下來時也覺得怪怪的)，就在一來一往後，病毒大怪又用阿哥名義敲了我2-3次說要給我檔案，當然是給他先拒絕下來，不過第一次遇到還是覺得怪怪滴。

好啦~就在怪完之後，心血來潮想說到系辦網站看看有沒有什麼消息，沒想到一進就看到網管發了轉述的病毒消息，看來今晚遇到的一切真的都是剛好。 (把敘述轉貼上來希望能提醒自己MSN使用時要注意...)

技術分析：
MSN 蠕蟲目前又有新變種傳播，傳播圖例如下：
(Embedded image moved to file: pic19169.jpg)

中毒用戶會向 MSN 好友發送「hey you got a photo album? anyways heres my  new photo album?」
或者「Nice new photos of me and my friends and stuff and when i was young lol...!!」之而此類的

英文消息，並會傳送「photos.zip」壓縮文件。如果用戶接收並運行該文件，就會 中毒。

該 zip 文件解壓縮後如下圖所示：
(Embedded image moved to file: pic15724.jpg)

運行流程：
該蠕蟲運行後，會向 Windows 目錄下複製一個自己 zip 文件的副本，並且向
system32 目錄下寫入一
個 S 開頭的 Dll 文件，並且註冊為 com
組件，這樣每次啟動電器，該組件就會自
動插入到系統進程 並運行，所以用戶很難找到並刪除該文件，唯一表現現象就是在 MSN
上瘋狂向好友 發送病毒文件，

大量消耗系統資源和網絡帶寬。同時該蠕蟲給黑客留下了後門，黑客可以輕易竊取
用戶電腦內的資料，所以對個人和企業用戶危害相當大。

清除截圖：
(Embedded image moved to file: pic11478.jpg)


解決方案：
1. 木馬清除大師用戶直接升級到 2007.6.2 日病毒庫即可徹底清除。
2. 下載木馬清除大師專殺工具幾秒鐘即可清除。
3. 不要輕易在MSN上接收好友發過來的莫名其妙的文件。


木馬清除大師 - 「MSN照片」蠕蟲專殺工具：
http://www.lofocus.com/MsnWormKill.exe

資訊來源 : http://forum.icst.org.tw/phpBB2/viewtopic.php?t=12474

文章來源: 行政院 國家資通安全會報 - 技術服務中心 - 資安論壇 http://forum.icst.org.tw/