文件名称: IMG34814.pif

计算机安全资讯文件大小: 40960 Bytes

MD5: FC5415DC9054EE0934E3FF3E587DE444

加壳: N/A

病毒名: kaspersky: IM-Worm.Win32.Agent.f

病毒特征：感染后的电脑会自动通过msn，向所有msn联系人发送一个名为image.zip的压缩包同时发送消息

QUOTE:

LOL, you look so ugly in this picture, no joke...

Should I put this on facebook/myspace?

或者

QUOTE:

字串7

Hey m8, who is this on the right, in this picture...

Sup, seen the pictures from the other night?

来欺骗接受者打开压缩包

当接受者打开压缩包并运行病毒程序便会感染！

病毒分析：

运行样本后会在系统盘下创建a.bat

内容为

CODE:

@echo off

net stop "Security Center"

net stop winvnc4

del c:\\a.bat

然后创建文件

%WINDOWS%winlog32.exe

创建自启动项

字串1

CODE:

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\MSN: "winlog32.exe"

尝试连接：down.basecore.info

清除步骤：

1：删除启动项目

CODE:

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\MSN: "winlog32.exe"

2：重新启动计算机

3：删除病毒文件

CODE:

%WINDOWS%\\winlog32.exe