MSN相片“性感相册”PHOTOS.ZIP病毒专杀/手动清除方法

MSN相片“性感相册”病毒手动清除方法

作者：瑞星　来源：赛迪网

MSN性感相册专杀下载地址 http://download.jiangmin.info/jmsoft/MSNPhotoKiller.exe

病毒名称：MSN相片（Worm.Mail.Photocheat.a）

病毒类型：蠕虫病毒

病毒危害级别：★★★☆

病毒分析：

这是一个通过MSN进行传播的蠕虫病毒，病毒行为如下：

1、病毒运行后创建自己的压缩包命名为PHOTOS.ZIP释放到%WINDIR%目录下，放出一名为syshosts.dll的动态库到%SYSTEM%目录下，将动态库蛀入系统多个线程中实现其传播的功能。

2、病毒会自动创建如下注册表项，实现自启动。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

"syshosts" = {1E3EF678-AFB7-4420-9CCF-3725505ACA10}

3、病毒会将生成的PHOTOS.ZIP通过MSN模拟键盘和鼠标操作发送给其他联系人,发送消息如下：

Here are my private pictures for you

Here are my pictures from my vacation

My friend took nice photos of me.you Should see em loL!

its only my photos!

Nice new photos of me and my friends and stuff and when i was young lol...

Nice new photos of me!! :p

Check out my sexy boobs :D

hey regarde mes tof!! :p

ma soeur a voulu que tu regarde ca!

hey regarde les tof, c'est moi et mes copains entrain de.... :D

j'ai fais pour toi ce photo album tu dois le voire :)

tu dois voire ces tof

mes photos chaudes :D

c'est seulement mes tof :p

zijn enige mijn foto's

wanna Hey ziet mijn nieuw fotoalbum?

indigde enkel nieuw fotoalbum! :)

hey keurt mijn nieuw fotoalbum goed.. :p

het voor yah, doend beeldverhaal van mijn leven lol..

en Fotos ! :p

le mie foto calde :p

mis fotos calientes

as :p

lbum de foto

4、病毒运行后将访问www.free8.bi的地址，以特定的昵称,登录到特定的IRC频道上，并在IRC聊天频道中散播消息。

手工清除方法

一、删除病毒在注册表中的启动项目

1、点击“开始”菜单，选择运行。输入“regedit.exe”启动注册表编辑器。

2、打开

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

项，找到名为“syshosts”一项，将其值记录下来。例如本机中该值为“{8D4C2FB9-6DF1-46EA-B6A0-6403640115D6}”。（见图一）



图一

3、将syshosts项删除。

4、打开注册表中的HKEY_CLASSES_ROOT\CLSID项，找到刚刚记录下的项目，本例中为{8D4C2FB9-6DF1-46EA-B6A0-6403640115D6}（见图二）。



图二

5、重新启动计算机。

二、删除病毒文件

1、打开“我的电脑”，选择菜单“工具”-》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。同时取消掉“隐藏已知类型文件的扩展名”前的对勾，然后点击“确定”。

2、进入Windows文件夹（默认为C:\Windows），找到名为“photos.zip”的文件，将其删除。如图三所示。



图三

3、进入系统文件夹（默认为C:\Windows\system32），找到名为“syshosts.dll”的文件，将其删除。



图四

4、再次重新启动计算机，查看这两个文件是否存在，若不存在，则说明病毒已经被清除干净。

该病毒手工清除需要具有一定的计算机操作水平，一般用户可直接升级杀毒软件至最新病毒库清除该病毒。

紧急警报！“性感相册”病毒发带毒文件

作者：T木　来源：赛迪网

下午，同事收到有人在MSN上传来的一个压缩文件，MSN上先是说：“Here are my private pictures for you”，然后就会发来一个压缩包，文件名是“photos.zip”，文件大小约468KB。一旦点击接收后，就会显示：“Nice new photos of me and my friend and stuff and when i was young lol...”

同时，江民反病毒中心也监测到，一个名为“性感相册”的蠕虫病毒正在互联网上疯狂传播。该病毒会自动搜索电脑中MSN的联系用户名单，向所有的联系人随机发送带有诱惑性的英文消息如“My friend took nice photos of me. You Should see them loL!、check out my sexy books”等（我的朋友给我拍了些好看的照片，你应该看看……、看看我的色情书），并试图传送名为“photos.zip”的压缩包，用户接受并解压缩文件即会中毒。

该病毒十分隐蔽，中毒电脑无异常表现，而病毒会在后台秘密向所有MSN联系人发送包含病毒的压缩包，解压后即会中毒。

由于该病毒利用MSN的联系名单传播病毒，影响范围非常大，江民反病毒专家提醒广大用户，不要轻易接收和运行MSN上传来的不明文件，尤其是名称为“photos.zip”的压缩包。



同事接收到MSN画面



病毒发来的图片文件



接收后的现象

同时金山毒霸反病毒专家戴光剑表示，此次大面积发作的针对MSN用户的病毒并非之前的“MSN照片”病毒，而是一名为“MSN机器人”的病毒。

“MSN机器人”（Worm.MsnBot.h）病毒正在利用MSN聊天工具疯狂传播，仅6月1日下午短短几个小时就有数万用户中招。为此，金山毒霸已发布紧急预警，建议用户立即升级病毒库，拒绝接收名为photos.zip的压缩包。

“今天下午，突然有3、4个MSN好友同时发过来一个名为photos的压缩包，还附有Hereare my pictures from my vacation或“My friend took nice photos of me.YouShould seeem loL!、check out my sexy books”的英文，与此同时，身边的同事也纷纷收到类似的东东，影响非常大。”用户蒋女士表示。

该病毒运行后，会把自己拷贝到系统目录下%system%\\syshosts.dll，并把自己压缩后放到以下目录%windows%\\photos.zip。病毒会寻找MSN的窗口，并尝试发送自己，发送前先随机发送以下文字：

Here are my pictures from my vacation

My friend took nice photos of me.you Should see em loL!

its only my photos!

Nice new photos of me and my friends and stuff and when i was young lol...

Nice new photos of me!! :p

Check out my sexy boobs :D

hey regarde mes tof!! :p

ma soeur a voulu que tu regarde ca!

hey regarde les tof, c'est moi et mes copains entrain de.... :D

j'ai fais pour toi ce photo album tu dois le voire :)

据了解，类似“MSN机器人”这类病毒，一般是通过如下流程进行传播：病毒制作者制作完成后通过某种渠道如捆绑下载等渠道发布出去，MSN用户感染该病毒后，可立即在MSN好友之间相互传播。

专家在分析病毒时发现，与之前病毒MSN机器人病毒不同，该病毒拒绝在虚拟机中运行，为病毒分析带来了一定麻烦。根据该病毒的传播特点，金山毒霸全球反病毒中心已经启动紧急病毒处理流程，金山毒霸的用户升级到最新的病毒库即可查杀。同时，金山毒霸反病毒专家提醒广大用户三步应对该病毒：

1、拒绝接受病毒文件。用户如发现有MSN好友发送类似信息，立即关闭该窗口，并通知发送信息的好友，及时查毒；

2、如果已经接受，千万不要打开该文件；

3、升级杀毒软件到最新病毒库，开始实时监控以及防火墙等功能；

鉴于该病毒传播迅速，影响范围比较广，金山毒霸快速推出了手动解决办法：开启金山毒霸反间谍2007中的文件粉碎器，查找以下文件：%system%\\syshosts.dll、%windows%\\photos.zip 彻底删除。

MSN大面积中毒 感染后自动传播

作者：徐新事 | 出处：DoNews |

　　DoNews（北京）6月1日快讯（记者 徐新事）今天下午15:08分起，不断有MSN好友向记者发送一个Photos.zip文件，经证实是新的MSN病毒。

十分钟内，有来自全国各地的30多位MSN好友都向记者发送该文件。

　　据趋势专家介绍，这是2003年的photos.zip的病毒的变种。

　　病毒症状：被感染用户向MSN好友发送相同文件，或者发送my sexy photos的压缩包，用户应该拒绝接收。

　　扫描类型： 手动 扫描

　　事件： 已发现病毒！

　　病毒名称: Infostealer.Gampass

　　文件： C:\Documents and Settings\user\Local Settings\Temp\mhso.exe

　　位置：隔离区

　　计算机：LENOVO-E5CA6843

　　用户：user

　　采用的操作：清除 失败 : 隔离 成功 :

　　发现的日期： Fri Jun 01 15:33:19 2007

　　修复：计算机用户可以即刻登录趋势科技网站或8844网站（http://8844.com），下载趋势杀毒软件90天免费版，立即清除。