蠕虫病毒Worm_Funny.A分析报告（5）

　　技术特点：

　　 1、将自身复制到：
%SystemRoot%\rundll32.exe（98下会替换系统文件，导致系统不能正常关机）
%System%\explorer.exe
%System%\IEXPLORE.EXE
%System%\userinit32.exe
C:\funny.exe

　　2、生成 %System%\BSFIRST2.LOG 日志文件

　　3、Win9x/ME下 病毒会修改system.ini文件
[boot]
Shell=explorer.exe
为以下内容
[boot]
Shell=%System%\explorer.exe

　　4、病毒每隔60秒，就会注册表主键
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加如下键值：
"MMSystem"="%SystemRoot%\rundll32.exe "%System%\mmsystem.dll"", RunDll32"防止用户更改该键。

　　5、WinNT/Win2000/WinXP/Win2003系统下，会将注册表主键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
的键值
"Userinit"="%System%\userinit.exe,"
修改为：
"%System%\userinit32.exe,"

　　使得系统加载的不是正常的userinit.exe，而是病毒文件。

　　6、病毒会运行多个进程，并监视自身进程是否被关闭，如果关闭，则再启动自身。

　　7、病毒会利用MSN，QQ传播，将病毒自身以funny.exe文件名发送给好友，诱使感染用户的好友运行该文件。并发送如下消息之一：

一家新开的酒吧，晚上聚聚，这里有介绍www.***78p.com,记得给我电话
朋友，多注意休息啊，可以到这里放松放松哦，www.***78p.com
我们也来俗一把如何，看MM去，www.***78p.com，够味！呵呵！
日本人在南京大屠杀的铁证!坚决抵制日货www.***78p.com
对中国威胁最大的十个国家!列表www.***78p.com
我见过最漂亮的视频MM (不看可别后悔),www.***78p.com
《中国农民调查》页页血泪，惊动中央 转自网易,www.***78p.com

　　8、在C盘根目录下建立一个名为Killme.cmd 或Stopme.cmd文件，则病毒会停止运行。

　　9、WinNT/Win2000/WinXP/Win2003下会修改Host文件%System%\drivers\etc\hosts为

　　使用用户在访问正常网站转连到www.***78p.com，可能导致对该网站的DoS攻击。

　　解决方案:

　　A、请使用金山毒霸2004年10月11日的病毒库可完全处理该病毒；

　　B、企业级用户请使用金山毒霸网络版来彻底防范该病毒的侵袭；

　　C、开启金山毒霸病毒防火墙可防止病毒入侵。

　　安全小贴士： 　

　　A、养成良好的安全习惯。只有不轻易打开即时通讯工具传来的网址、不随便打开来历不明的邮件及附件、不到不安全的网站下载可执行程序、不要执行从 Internet 下载后未经杀毒处理的软件等，才能确保您系统的安全。

　 　B、经常升级系统补丁。好多网络病毒是通过系统漏洞进行传播的，已出现的重大病毒如：冲击波、震荡波等，都是利用了系统漏洞，所以请您定期到微软网站下载最新的安全补丁，及时补住您系统的漏洞。

　　C、使用较为复杂的密码保护。有许多网络病毒通过弱密码攻击用户机器，也就是通过猜测用户机器密码的方式攻击系统，因此使用复杂的密码，将会大大提高计算机的安全系数。（待续）