MSN中毒(按了張相係唔係有你份呀的網址)

第1隻

微軟即時傳訊MSN Messenger遭到嚴重病毒攻擊，災情已從亞洲擴大到全球。台灣微軟網路服務呼籲用戶，接收檔案前，先詢問對方確認檔案性質，再按「接收」。

大部分的防毒軟體將 Bropia 病毒歸為威脅性低的病毒。該病毒並非針對攻擊任何安全性漏洞。Bropia 病毒的傳播讓透過用戶接收並執行檔案後傳播給聯絡人。MSN 建議用戶不要接收目的不明的檔案。

有關 Bropia 的資訊請參閱防毒軟體服務網站：
TrendMicro
Symantec
Computer Associates
MSN病毒又來了！這次不是以傳檔案方式，而是一個超連結病毒，基於上次烤雞病毒以檔案對傳方式傳播，用戶多半有警惕心，這次搖身一變以url顯示，使用者很容易掉以輕心！


第2隻

趨勢科技7日表示，一隻新的超連結病毒WORM_KELVIR.A 目前利用微軟MSN Messenger即時傳訊軟體流竄於網路，這一隻病毒會以好朋友名義陸續傳送好玩的檔案，若不慎點選這個超連結就會馬上感染中毒，並迅速發送 MSN談話視窗給MSN通訊錄中的好友，藉此來進一步散播病毒造成更大規模的感染。

由於此病毒會夾帶另外一隻病毒WORM_SDBOT同時發作感染，開啟後門供駭客伺機利用以竊取個人機密資料，並在網路芳鄰上尋找其他電腦主機，伺機猜密碼入侵感染病毒，因而造成較大規模的感染災情。此蠕蟲病毒會感染所有Windows作業平台使用 MSN Messenger即時傳訊軟體用戶，包括Windows 95, 98, ME, NT, 2000, 2003和XP等系統。

首先在亞洲的中國、台灣與韓國發現並迅速傳播開來，歐美地區也出現許多感染案例，目前在台灣地區已經有數百感染案例，而且傳播速度驚人。

趨勢科技防毒研究中心 TrendLabs 分析指出，這一隻病毒相當聰明，善用 MSN Messenger 平台即時傳訊的特性，以好朋友名義陸續傳送好玩的檔案引誘網友開啟（以超連結的形式出現），一般人在毫無預警的情況下，不慎點選即引發中毒。此病毒還會伺機夾帶另外一隻病毒WORM_SDBOT來造成更大的破壞與散播，由於該WORM_SDBOT 病毒會利用微軟的兩個重要弱點（MS03-026 及 MS04-011）來造成病毒發作，並開啟後門來伺機入侵受感染的電腦，因此中毒之後除了會進一步感染好朋友的電腦以外，也會造成電腦速度變慢，並且病毒會進一步尋找網路芳鄰上的其他電腦主機，以預備好的密碼名單來進行入侵，引發網路上的流量變大。

而賽門鐵克則指出，若是不幸中毒，受害者MSN的聯絡人都會收到「omg this is funny (我的老天，這很有趣。)」的訊息，並附上jose.rivera4.home.att.net的連結。如果使用者開啟連結，Kelvir.A就會下載patch.exe的執行檔，並連上home.comcast.net，下載變種後門程式。該程式會於每次電腦開始啟動時執行。

趨勢科技針對此病毒建議用戶，暫時關閉MSN，如果一定要開啟，不要點選任何MSN Messenger上的超連結，立刻更新防毒引擎與病毒碼，平日應養成隨時問的習慣，對於朋友傳來的檔案或連結，一定要確認，如果不慎中毒，可以使用趨勢提供的清除工具：http://www.trendmicro.com/download/dcs.asp

剛剛找了一下解毒的方法~提供給妳參考...

1.若有收到MSN傳來的四個檔案：new_webcam.pif、Hot.pif、LOL.scr、Hot.pif請不要執行，這是病毒程式，若有下載存檔的人，請到桌面\我的文件\我已接收的檔案 下面，把這幾個檔案刪除掉，並且清除資源回收筒，若不小心已經執行了這些檔，請重新開機，切勿執行MSN，然後先去把檔案刪除即可。

2.妳說的winhost.exe在下面這裡

執行regedit 把
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\OLE
以上位置裡面有看到winhost的登錄的就刪掉

用工作管理員將 msnus.exe關閉..
刪掉C:\的Sexy.jpg & *.pif
刪掉C:\[Windows目錄]\[System目錄]\msnus.exe & 最近建立的pif
(Win2k應該是C:\WinNT\System32\)
建議用時間排序找出有問題的檔案，刪掉，這樣就可以了..

3.有關網址的地方如下：

趨勢 (TrendMicro):
http://www.trendmicro.com/vinfo/zh-tw/virusencyclo/default5.asp?VName=WORM_BROPIA.F

賽門鐵克 (Symantec):
http://securityresponse.symantec.com/avcenter/venc/data/w32.bropia.html

Computer Associates:
http://www3.ca.com/securityadvisor/

至防毒公司說明下載解毒程式
4.最後提醒妳　如果妳朋友突然傳有exe的檔名　不要馬上開　還是先問他一下　因為病毒是會從他的名單自動寄送出去　所以有檔案還是要先檢視一下以防中毒

你中的正是20號夜晚出現的新病毒(打電話問過香港電腦保安及事故協調中心)
我目前亦努力尋找完整清除病毒的方法
目前Kapersky已能成功掃出病毒,不過全無資料
NOD32也可以,不過一樣是沒有資料

病毒名稱:Backdoor.Win32.MSNMaker.w
病毒特徵(目前已知):
透過MSN傳送
中毒者會傳送以下訊息給所有MSN聯絡人(在線是必SEND,但8.0未知會否給離線者)

訊息內容:
uis that u on that photo
http://www.photogbase.com/pictures.php?photo656.jpg

開啟網頁會下載檔案:photo656.pif
此為一MS-DOS程式捷徑
更新window xp sp2預設會警告是否執行
若選執行病毒即啟動

目前網站上的檔案已被刪除,而主頁似乎亦不存在,看來是病毒作者專為此病毒而申請

病毒的發作方式似乎非每部電腦一樣,可能是為混淆別人
未必每人都會有以下特徵
1.IE多了一個toolbar,名字含8888
2.主頁會變成一個類似搜尋器的網站,上網亦不時會跳到此站,據搜尋此網站似乎已進了不少網站的黑名單...
3.桌面多出一個程式(這是我有問題的一點,一個這麼容易被發現的病毒?)

未確認是否完全清除的辦法:
本人有2位朋友誤打誤撞的目前已令病毒無法運作(當然是已中毒):
1.用登錄編輯器在啟動中把有異的東西刪掉,這樣病毒重開機後不會開啟,就算不解毒也沒問題(據說),在哪一個機碼請自行問人尋找...不記得
2.於C:\Documents and Settings\的每一個子資料夾(只限C:\Documents and Settings\下一層),尋找奇怪的檔案,桌面也需要,據說名稱含:
drsmartload1135a.exe(檔案簡介會為無意義文字,vb編譯圖示)
drv.exe(檔案簡介會為無意義文字,vb編譯圖示)
free.exe(exe無圖示檔)
go1.exe(exe無圖示檔)
one.exe(安裝程式圖示)
two.exe(exe無圖示檔)
wen.exe(vb編譯圖示)
把它們全部刪除,若不行,到安全模式刪除(執行打入msconfig,在boot.ini選取/safeboot,確認再重新開機,就可進行,若要回復正常,只要在安全模式下再入msconfig但這次取消/safeboot,確認再重新開機即可)
3.重新安裝msn

2006-10-21 23:12:22 補充：
補充一點,此病毒似乎不會在處理程序出現,所以刪不到別花時間到處理程序找了,直接進安全模式刪吧

用outost4.0內置個個anti-spyware 同avg anti-spyware 掃部電腦,
之後delete左D Spyware
Then,重裝MSN
咁就dim ga 啦!

outpost & avg download site :
http://www3.discuss.com.hk/viewthread.php?tid=768566&highlight=outpost