金山毒霸紧急升级报告

2005年2月3日，金山毒霸紧急升级两个传播速度极快的重大Windows病毒：

1、“MSN爱你”变种B (Worm.MSNLoveme.b)

利用MSN疯狂传播，禁用系统功能，释放利用漏洞传播的黑客病毒。
病毒名称：Worm.MSNLoveme.b
影响系统：Win9x / WinNT
处理时间：2005年2月3日
中文名称：MSN爱你变种b
病毒类型：蠕虫
威胁级别： ★★★

病毒行为：

该病毒通过MSN通讯工具进行传播。用户运行后在会释放一个Rbot后门程序，从而控制感染机器。该病毒还会禁止用户使CMD.EXE命令行程序，及鼠标右键。并且会将感染机器的音量调到零，使用户无法听到声音。

病毒特征：

A.该病毒自动向在线的Msn好友发送病毒文件,文件名可能为以下之一:
LOL.scr
Webcam.pif
bedroom-thongs.pif
naked_drunk.pif
LMAO.pif
ROFL.pif
underware.pif
Hot.pif
new_webcam.pif

B.当用户感染该病毒时,该病毒会在系统目录下释放文件:
Msnus.exe (病毒自身)
winhost.exe (该文件为Win32.Hack.Rbot病毒)

C.在系统盘根目录下释放一张烧鸡图片,并用IE打开该图片

D.修改系统注册表项,使病毒随计算机启动而自动运行
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
win32 "winhost.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
win32 "winhost.exe"
注：Winhost.exe为Win32.Hack.Rbot病毒，病毒利用该病毒来启动自身。

2、Win32.Hack.RBot

病毒利用系统漏洞传播，并可通过网络共享进行传播。它使用一个硬编码形式的弱密码登陆目标系统。它在可访问的系统上产生自身的拷贝。

该病毒利用如下漏洞：
Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) 漏洞
SQL Server 2000 中的缓冲区溢出漏洞
IIS5/WEBDAV 缓冲区溢出
以下是微软对这些漏洞公布的信息：
Microsoft Security Bulletin MS03-026
Microsoft Security Bulletin MS02-061
Microsoft Security Bulletin MS03-007

A、在系统目录下拷贝其自身
%System%\winhost.exe

B、在注册表添加以下键值：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
win32 = "winhost.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
win32 = "winhost.exe"
以便病毒可随机自启动

C、利用IRC开启后门控制被感染的系统；

D、盗取系统中正版游戏的序列号。