反病毒专家眼里的 MSN病毒

guyou888

反病毒专家眼里的 MSN病毒

来自：MACD论坛(bbs.macd.cn) 作者：guyou888 浏览：1698 回复：2

MSN病毒是指那些通过MSN发送含毒文件或含毒网页链接，实现自我传播的恶意程序。大多数的MSN病毒的工作流程都相当类似，分为下面3个步骤：  

1、病毒获取用户的MSN好友名单，向每个好友发送病毒文件或恶意网址；  

2、当MSN好友们接收运行病毒文件，或者点击了恶意网址后，遭到感染；  

3、病毒在每个好友的机器上，又开始了步骤1～3的工作流程。  

凭借MSN即时通讯和用户量大的特征，很多MSN病毒都在短时间（几个小时）内感染了大量用户。对于病毒来说，MSN是个传播平台，因此，称它们为MSN蠕虫来得更加准确。  

据我所知，最早的MSN蠕虫是出现在2001年4月的I-Worm/Funny，也被叫做Worm.Hello，因为它会通过MSN发送一个名为“Hello.exe”的文件。2001年，我正在大学读计算机系，对MSN也只是略有耳闻，同学们几乎没人用它。那时国内的MSN用户量很少，所以这个病毒对国内用户影响很小。  

随着MSN在国内用户数量的激增， MSN蠕虫家族的“后辈”们所带来的危害、影响远远超过了“开山鼻祖”。  

2003年12月，江民公司截获了Flooder.MSN.Convont，运行后会向所有MSN好友发送“今天我请你吃饭”、“I love you, my baby”、“I love you. darling”等信息。它并不会主动把自己传播出去，所以并不是蠕虫，而只是一个恶作剧程序。即便如此，在2003年12月11日那天，我还是收到了来自好友们的4、5条“请饭邀请”。2004年7月，另一个很相似的样本被截获——Flooder.MSN.Marry，它发送的消息是“明天我结婚”。  

国内早期的MSN病毒大多是这种恶作剧类型，它们不会通过MSN传播，也不会对系统造成什么破坏，唯一的功能是惹人烦。  

相比之下，同期来自国外的MSN病毒更成熟些。2004年7月，一只名为“MSN射手”的蠕虫（I-Worm/MSN.Sinmsn.c）在韩国大面积爆发。“幸运”的是，“MSN射手”只针对韩文版的MSN，不会从非韩文用户的机器上扩散。它对国内用户基本上没有影响。  

在我印象中，可以称得上“爆发”的第一只国产MSN蠕虫是2004年10月10日被江民截获的“MSN小丑”（I-Worm/MsnFunny）。它通过MSN向好友发送自身复本funny.exe和某个网站的地址，并把900多个常用网站重定向到该网站上。在传播的同时，为某网站大做广告，带来了巨大的访问量。该蠕虫爆发后的几个小时内，江民反病毒中心就收到了数百份感染报告。这也是相当比例的国内MSN用户第一次遭遇MSN蠕虫的袭击。  

越来越多MSN蠕虫的出现，迫使微软对MSN进行了安全升级，禁止直接传送exe文件，希望借此遏制MSN蠕虫的势头。但就在2005年初，“MSN性感鸡”和“MSN好快”蠕虫的先后爆发，证明微软的这一安全升级完全是形同虚设。  

2005年2月3日，MSN性感鸡（I-Worm/MSN.DropBot.b）爆发，该蠕虫运行后的最大特点是，会显示一幅恶搞的性感烧鸡图片。同时，蠕虫还会释放后门程序，感染计算机被黑客完全控制。它不仅通过MSN传播，还可以通过多种系统漏洞和弱口令传播，感染能力极强。“MSN好快”在同年3月爆发，可以通过MSN和P2P共享软件传播。这两只蠕虫都会发送自身的复本文件，它们把文件名后缀设置成“.pif”或“.scr”，这也是可执行文件的合法后缀名，很容易地绕过了MSN“禁止传送exe文件”的限制。  

“MSN性感鸡”和“MSN好快”的“成功”，吸引了一大批跟风者。称2005年是 “即时通讯软件蠕虫年”，应该不过分。通过各种即时通讯软件传播的国产蠕虫比例急速上涨，并且第一次出现了通过QQ发送自身复本的蠕虫。到了这个时期，通过MSN传播的技术已经被病毒作者们熟练应用，很多老牌木马、后门也纷纷增加了MSN传播的功能。比如著名的盗号木马“武汉男生”（Trojan/PSW.Whboy）——让人联想到李俊，他在熊猫烧香病毒里面也留下了“Whboy”的字样——就增加了通过MSN、QQ、UC、网络泡泡传播的代码。  

2006年对于MSN病毒来说，是波澜不惊的一年，种类和数量依然不少，却没有什么大规模爆发，能让人记得住它们的名字。如果一定要找出点关于MSN的回忆，那就是“中国缘”网站利用大批MSN机器人冒用网友MSN账号发起的“骚扰事件”了，可能有很多国内的MSN用户都遇到过。先是一个陌生人请求加为好友，一旦通过后，就会发来一个指向“中国缘”的网址；或者在hotmail信箱中发现自己的MSN好友发来的电子邮件，内容同样是在宣传该网站。为此，很多用户曾经求助于江民反病毒中心，怀疑自己感染了病毒。但经过调查发现，这并非病毒引起的。网友在中国缘网站的提示下，输入了自己的MSN账号密码，导致账号被冒用。  

2007年6月1日被江民截获的 “性感相册”蠕虫是最近1年多以来爆发最为迅猛的MSN蠕虫。它会通过MSN发送一个含毒的ZIP压缩包，压缩包里面是病毒程序。中毒电脑还会连接远程的IRC服务器，接收黑客远程控制，成为“僵尸计算机”。  

由于最新版本的MSN已经禁止直接传送exe、pif、scr等类型的文件，“性感相册”选择了把自己先放进ZIP压缩包，然后在发送ZIP的方法。这样虽可以绕过MSN的屏蔽，但似乎会降低病毒扩散的速度：用户需要接收含毒ZIP文件、解压ZIP文件、点击运行里面的程序，才会被感染。可是，从爆发当天的收到的感染报告数量来看，解压ZIP文件带来的麻烦显然不足以削弱用户的好奇心，蠕虫的传播速度一点也不比2年前的“MSN性感鸡”差。  

上面简要回忆了一下我所知道的MSN蠕虫们。利用MSN进行传播，已经成为恶意软件的常用技术，五花八门的后门、蠕虫、木马都有能通过MSN传播的样本。其实，避免感染MSN蠕虫、感染后降低其危害程度，都是不难做到的，总结成下面4点，希望与读者分享：  

1、对于好友发来的可疑文件，在接收前一定先询问清楚；  

2、一定要安装杀毒软件，及时更新病毒库。从MSN接收下来的文件应使用杀毒软件扫描；  

3、一旦发现自己的电脑有自动向好友发送信息、文件等症状，应立即结束MSN程序，然后更新病毒库，使用杀毒软件或专杀工具对系统进行扫描；  

4、不要在不明网站上暴露自己MSN账号的密码。

淡淡体味

谢谢楼主提供的资料

youtv

MSN账号的密码。
wo我不用MSN:*P