『MSN相片』突然來襲 瑞星公布手工清除方法

　　病毒名稱：MSN相片(Worm.Mail.Photocheat.a)

　　病毒類型：蠕蟲病毒

　　病毒危害級別：★★★☆

　　病毒分析：

　　這是一個通過MSN進行傳播的蠕蟲病毒，病毒行為如下：

　　1、病毒運行後創建自己的壓縮包命名為PHOTOS.ZIP釋放到%WINDIR%目錄下，放出一名為syshosts.dll的動態庫到%SYSTEM%目錄下，將動態庫蛀入系統多個線程中實現其傳播的功能。

　　2、病毒會自動創建如下注冊表項，實現自啟動。

　　EY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

　　"syshosts" = {1E3EF678-AFB7-4420-9CCF-3725505ACA10}

　　3、病毒會將生成的PHOTOS.ZIP通過MSN模擬鍵盤和鼠標操作發送給其他聯系人,發送消息如下：

　　Here are my private pictures for you

　　Here are my pictures from my vacation

　　My friend took nice photos of me.you Should see em loL!

　　its only my photos!

　　Nice new photos of me and my friends and stuff and when i was young lol...

　　Nice new photos of me!! :p

　　Check out my sexy boobs :D

　　hey regarde mes tof!! :p

　　ma soeur a voulu que tu regarde ca!

　　hey regarde les tof, c'est moi et mes copains entrain de.... :D

　　j'ai fais pour toi ce photo album tu dois le voire :)

　　tu dois voire ces tof

　　mes photos chaudes :D

　　c'est seulement mes tof :p

　　zijn enige mijn foto's

　　wanna Hey ziet mijn nieuw fotoalbum?

　　indigde enkel nieuw fotoalbum! :)

　　hey keurt mijn nieuw fotoalbum goed.. :p

　　het voor yah, doend beeldverhaal van mijn leven lol..

　　en Fotos ! :p

　　le mie foto calde :p

　　mis fotos calientes

　　as :p

　　lbum de foto

　　4、病毒運行後將訪問www.free8.bi的地址，以特定的昵稱,登錄到特定的IRC頻道上，並在IRC聊天頻道中散播消息。

　　手工清除方法：

　　一、刪除病毒在注冊表中的啟動項目

　　1、點擊『開始』菜單，選擇運行。輸入『regedit.exe』啟動注冊表編輯器。

　　2、打開HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad項，找到名為『syshosts』一項，將其值記錄下來。例如本機中該值為『{8D4C2FB9-6DF1-46EA-B6A0-6403640115D6}』。

　　3、將syshosts項刪除。

　　4、打開注冊表中的HKEY_CLASSES_ROOT\CLSID項，找到剛剛記錄下的項目，本例中為{8D4C2FB9-6DF1-46EA-B6A0-6403640115D6}。

　　5、重新啟動計算機。

　　二、刪除病毒文件

　　1、打開『我的電腦』，選擇菜單『工具』-》『文件夾選項』，點擊『查看』，取消『隱藏受保護的操作系統文件』前的對勾，並在『隱藏文件和文件夾』項中選擇『顯示所有文件和文件夾』，然後點擊『確定』。同時取消掉『隱藏已知類型文件的擴展名』前的對勾，然後點擊『確定』。

　　2、進入Windows文件夾(默認為C:\Windows)，找到名為『photos.zip』的文件，將其刪除。

　　3、進入系統文件夾(默認為C:\Windows\system32)，找到名為『syshosts.dll』的文件，將其刪除。

　　4、再次重新啟動計算機，查看這兩個文件是否存在，若不存在，則說明病毒已經被清除乾淨。

　　瑞星提示：

　　該病毒手工清除需要具有一定的計算機操作水平，一般用戶可直接昇級瑞星殺毒軟件2007至19.25.43版及更高版本清除該病毒。瑞星公司將密切關注該病毒的最新動向，防止其新變種傳播。

　　如遇病毒，請撥打反病毒急救電話：010-82678800或訪問瑞星反病毒資訊網：http://www.rising.com.cn。

　　【責任編輯丁宏波】