手工杀了新病毒

    前天，单位一同事的计算机中了病毒。此人从MSN接收了别人发来的一个文件，然后发现自己的机器中毒了，想用杀毒软件，却打不开。

    我去一看，发现确实如此。单位装的MCAFEE的防病毒软件已经不管用了。想开任务管理器看看进程，也打不开。先卸载了MSN。进注册表看启动的任务，发现了异常的文件，在WINNT目录下有msmbw.exe，隐藏属性的，这不是正常的系统文件，System32下有serbw.exe，也不正常，于是删除注册表项和相应文件，可删了又出来。没办法，重启进安全模式，可以删了，同时把C盘根目录下的可疑文件都删除。重启进正常模式，开始以为好了，可过了1分钟，又不行了，删除的文件又回来了，折腾了1个小时都这样。无奈，去金山毒霸在线杀毒，可没法工作。下载了瑞星的MSN蠕虫专杀工具，没有发现病毒。

    我只好耐下心来，在WINNT和System32下仔细看可疑文件，终于发现了System32下的formatsys.exe这个隐藏属性的文件。于是删除之以及上面提及的文件、注册表项。终于OK！

    昨天上网看见了这个MSN蠕虫的介绍，感情是旧病毒的变种。

    将瑞星上的说明摘录如下。

Worm.MSN.Bropia.u
破坏方法：MSN蠕虫，采用VB编写，MEW加壳。
双击运行后显示一个网页，标题为*Crazy frog*，网页中显示一副相应的图片。
然后病毒将自己复制到以下位置：
C:\WINNT\System32\formatsys.exe
C:\WINNT\System32\serbw.exe
C:\WINNT\msmbw.exe
C:\lspt.exe
C:\Crazy frog gets killed by train!.pif
C:\Annoying crazy frog getting killed.pif
C:\See my lesbian friends.pif
C:\LOL that ur pic!.pif
C:\Me on holiday!.pif
C:\The Cat And The Fan piccy.pif
C:\How a Blonde Eats a Banana...pif
C:\Mona Lisa Wants Her Smile Back.pif
C:\Topless in Mini Skirt! lol.pif
C:\Fat Elvis! lol.pif
C:\Jennifer Lopez.scr
病毒复制文件是循环复制，发现文件不在了立即重新复制一份。

添加注册表启动项：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  ltwob = "C:\WINNT\System32\formatsys.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
  ltwob = "C:\WINNT\System32\formatsys.exe"
HKCU\Microsoft\Windows\CurrentVersion\Run
  ltwob = "C:\WINNT\System32\formatsys.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
  ltwob = "C:\WINNT\System32\formatsys.exe"
这样，每次开机病毒都能启动。

病毒驻留内存遍历进程，结束反病毒、防火墙以及一些系统诊断进程。

修改TCP/IP配置文件，屏蔽以下42个反病毒网站(网站IP地址64.233.167.104)：
www.symantec.com
www.sophos.com
www.mcafee.com
www.viruslist.com
www.f-secure.com
www.avp.com
www.kaspersky.com
www.networkassociates.com
www.ca.com
www.my-etrust.com
www.nai.com
www.trendmicro.com
www.grisoft.com
securityresponse.symantec.com
symantec.com
sophos.com
mcafee.com
liveupdate.symantecliveupdate.com
viruslist.com
f-secure.com
kaspersky.com
kaspersky-labs.com
avp.com
networkassociates.com
ca.com
mast.mcafee.com
my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
nai.com
update.symantec.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
grisoft.com
sandbox.norman.no
www.pandasoftware.com

病毒利用MSN向好友发送信息，诱骗好友下载并运行自己，从而达到传播自己的目的。