《分享》如何解MSN9月份最新的病毒IMG-0012.zip

jwxie518

《分享》如何解MSN病毒IMG-0012.zip

最近流行一隻MSN病毒，中毒的人會主動發送病毒給MSN清單上的聯絡人。

這隻病毒傳播的手法其實很簡單，先隨機送出一個問候語，然後緊接著送出一個夾有病毒檔案的壓縮檔IMG-0012.zip吸引人去打開它。



它的問候語資料庫如下↓

引用

ay no ese pelo fue lo mas chistoso...q estabas pensando jajaja yo me recuerdo cuando tuvistes el pelo asi oye ponga esa foto en tu myspace como la foto principal voy a poner esa foto de nosotros en mi blog ya esa foto de tu y yo la voy a poner en myspace hola esas son las fotos jaja debes poner esa foto como foto principal en tu myspace o algo : D oye voy a agregar esa foto a mi blog ya jaja recuerda cuando tuviste el pelo asi oye voy a poner esa foto de nosotros en mi myspace :-> Per favore nessuno lasciare vede le nostre foto Io ricordo quando abbiamo portato questa foto Caricher?questa foto al mio myspace adesso Qui sono il fotos di ci jaja lei dovrebbe fare quest'il suo pic predefinito sul myspace o qualcosa : D metta questi fotos in suo pagina myspace ehi aggiunger?quest'immagine di noi al mio weblog jaja ricordo quando lei aveva i suoi capelli come questo ehi metter?quest'immagine di noi sul mio myspace :> m?hten den pics von meinen Ferien sehen? Wimmern! Blick auf diese alte Abbildung, die ich: fand he ich zeige Ihnen diese Abbildung von mir ﯥrhaupt? Haha sollten Sie dieses Ihre R‰kstellung auf myspace oder etwas pic bilden: D he werde ich diese Abbildung von uns meinem weblog hinzuf? lol erinnern sich, an als Sie pflegten, Ihr Haar so zu haben he werde ich diese Abbildung von uns auf mein myspace setzen wil je fotos zien van mijn vakantie wow! moet je eens kijken welke foto ik nu gevonden heb he heb je ooit deze foto laten zien ? haha you moet die je standaard foto maken op hyves of myspace hey ik voeg deze foto van ons ff toe op mijn weblog lol ik kan me nog herrinneren toen je haar zoals dit had Hey i zet deze foto van ons even op mijn myspace d??aut de la reproduction sonore ! regard ?cette vieille image que j'ai trouv?~ : | mes photos chaudes : D haha vous devriez rendre ceci votre d??aut pic sur le myspace ou quelque chose : D j'ai fais pour toi ce photo album tu dois le voire : p h?veux tu voir mes image de vacance?? le lol se rappellent quand vous aviez l'habitude d'avoir vos cheveux comme ceci h?je vais mettre cette image de nous sur mon myspace :> Check out my nice photo album. : D wanna see the pics from my vacation? :> Nice new photos of me and my friends and stuff and when i was young lol... lol remember when you used to have your hair like this My friend took nice photos of me. you Should see em loL! hey i'm going to add this picture of us to my weblog Here are my private pictures for you

說實在的，很難想像朋友會中這隻病毒。
因為不管怎麼看，它的散佈行徑明明就很清楚的告訴他人“我是病毒”...
結果還是有人中！？
(唐小妹，你真是太沒有戒心了...)


查了一下，這隻病毒會複製以下的檔案，
C:\windows\system\lsass.exe
C:\windows\IMG-0012.zip
然後打開防火牆，把自己排除在防火牆的控制中。
同時在註冊機碼中的自動啟動項目run中，加入自己。
只要使用者一上線，就會主動傳播病毒IMG-0012.zip給清單上的聯絡人！


參考C.I.S.R.T.論壇，他們認為解毒有五個步驟。

• 删除病毒在註冊機碼中建立的啟動項目。
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "Windows Lsass Services"="%Windows%\system\lsass.exe"
  ↑要刪掉這個鍵值
• 重新開機，這樣才能刪除以下第3步驟中的的兩個病毒檔。
  否則執行中的病毒程式是無法刪除的。
• 删除病毒檔案。
  C:\windows\system\lsass.exe
  C:\windows\IMG-0012.zip
• 删除被病毒加入Windows防火牆的例外項目“Windows Sharing”。
• 恢復Timeout時間為2000，機碼位置如下：
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
  "WaitToKillServiceTimeout"="20000"

而順子我呢就好人做到底，把以上這五個步驟寫成批次檔，
使用者只要執行一次後重開機，再執行一次就可以了～

完整程式碼如下：
CODE

@echo off cls echo "刪除系統碟中的中毒文件。" DEL %windir%\system\lsass.exe /F /Q /A R H S A >nul 2>nul DEL %windir%\IMG-0012.zip /F /Q /A R H S A >nul 2>nul echo "清理註冊表中相關項目。" @echo Windows Registry Editor Version 5.00 >C:\fixMSN.reg @echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] >>C:\fixMSN.reg @echo "Windows Lsass Services"=- >>C:\fixMSN.reg @echo[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile\AuthorizedApplications\List]>>C:\fixMSN.reg @echo "%systemdrive%\\WINDOWS\\system\\lsass.exe"=- >>C:\fixMSN.reg @echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control] >>C:\fixMSN.reg @echo "WaitToKillServiceTimeout"="20000" >>C:\fixMSN.reg regedit.exe /s C:\fixMSN.reg echo "刪除解毒過程中產生的檔案。" DEL C:\fixMSN.reg >nul 2>nul echo "解毒完成，請重新開機。" pause

你可以把以上程式碼複製下來，貼在記事本另存副檔名為bat的批次檔；
或是下載本文的附加檔，解壓後，直接滑鼠點兩下執行它進行解毒。

為什麼要重開機，再執行一次呢？

在解毒第 2 步驟中有說，執行中的病毒是無法刪除的。
除非你有辦法像順子一樣精確的在工作管理員中停止病毒的lsass.exe程式，那麼就不用重開機！
(Windows系統有一個真的lsass.exe程式，路徑是在C:\windows\system32\lsass.exe。
病毒程式是C:\windows\system\lsass.exe；
系統程式是C:\windows\system32\lsass.exe。
在工作管理中，兩個看起來一模一樣的程式lsass.exe，你有辦法辨別何者為真？何者為假嗎？)

所以還是乖乖聽話，先執行一次批次檔，停止病毒的呼叫程序；
重開機後，在病毒未執行的狀態下，再執行一次徹底殺乾淨～


其他的MSN變種病毒
很難相信，這麼阿呆的病毒又有幾乎一模一樣的變種？
而且更阿呆的是...一樣有人會中...

目前這隻病毒改了附加檔案名稱，繼續流行中..
既然是變種，手法自然大同小異，先傳來一段英文，然後要你收傳來的照片壓縮檔(病毒檔)。
沒有戒心的好奇寶寶解壓→執行裏面的檔案後，就中毒了...


這個變種病毒的檔案路徑如下：
%windir%\system\dllcache\jucheck.exe
而其病毒壓縮檔則聰明了，不再是固定名稱，隨機亂數決定，路徑如下：
%windir%\picts_XXXX.zip
(其中XXXX為數亂)

同樣的病毒會在防火牆中，把自己排除在外～

解毒批次檔的程式碼如下：

CODE

@echo off cls echo "刪除系統碟中的中毒文件。" DEL %windir%\system\lsass.exe /F /Q /A R H S A >nul 2>nul DEL %windir%\system\dllcache\jucheck.exe /F /Q /A R H S A >nul 2>nul DEL %windir%\IMG-0012.zip /F /Q /A R H S A >nul 2>nul DEL %windir%\picts*.zip /F /Q /A R H S A >nul 2>nul echo "清理註冊表中相關項目。" @echo Windows Registry Editor Version 5.00 >C:\fixMSN.reg REM IMG-0012.zip型病毒 @echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] >>C:\fixMSN.reg @echo "Windows Lsass Services"=- >>C:\fixMSN.reg @echo[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]>>C:\fixMSN.reg @echo "%systemdrive%\\WINDOWS\\system\\lsass.exe"=- >>C:\fixMSN.reg REM PICT-***.zip型病毒 @echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] >>C:\fixMSN.reg @echo "jucheck"=- >>C:\fixMSN.reg @echo[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]>>C:\fixMSN.reg @echo "%systemdrive%\\WINDOWS\\system32\\dllcache\\jucheck.exe"=- >>C:\fixMSN.reg @echo[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]>>C:\fixMSN.reg @echo "%systemdrive%\\WINDOWS\\system32\\dllcache\\jucheck.exe"=- >>C:\fixMSN.reg REM 通用參數 @echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control] >>C:\fixMSN.reg @echo "WaitToKillServiceTimeout"="20000" >>C:\fixMSN.reg @echo [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control] >>C:\fixMSN.reg @echo "WaitToKillServiceTimeout"="20000" >>C:\fixMSN.reg regedit.exe /s C:\fixMSN.reg echo "刪除解毒過程中產生的檔案。" DEL C:\fixMSN.reg >nul 2>nul echo "解毒完成，請重新開機。" pause

將以上程式碼儲存為附檔名 bat 的批次檔後，
先執行一次，然後重開機；重開機後，再執行一次就可以了～

[ 本帖最後由 jwxie518 於 2007-10-5 08:21 PM 編輯 ]

canz85

thanks for sharing~~~~is very useful to us....:014: :014:

amway6999853

thank!!!

genskids

thxxxxxxxx

ky仔

thanks!~~~~~~~