通过MSN传播的IRCBot images.zip winlog32.exe 解决方案

病毒名称：IM-Worm.Win32.Agent.f（Kaspersky）
            病毒别名：Backdoor.Win32.Jusi.ab（瑞星）
            病毒大小：40,960 字节
            加壳方式：
            样本MD5：fc5415dc9054ee0934e3ff3e587de444
            样本SHA1：c48246a83290fa05ae8362c1d30c0dff98281cf4
            发现时间：2007.7
            更新时间：2007.7
            关联病毒：
            传播方式：通过MSN传播

            技术分析
            ==========

                        这个MSN病毒变种在生成的文件和启动项形式上和以往不同，没有释放dll。病毒被运行后在系统目录生成包含自身副本的ZIP压缩文件：
            %Windows%\images.zip
            压缩包内文件名是IMG+数字，扩展名是.pif，比如IMG34814.pif。

            同时创建一个副本：
            %Windows%\winlog32.exe

            创建启动项：

            [Copy to clipboard] [ - ]CODE:
            [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
            "MSN"="winlog32.exe"
            试图使用c:\a.bat批处理停止“安全中心”和“WinVNC”服务：

            [Copy to clipboard] [ - ]CODE:
            @echo off
            net stop "Security Center"
            net stop winvnc4
            del c:\a.bat
            向MSN联系人发送消息和伪装成照片的带毒压缩包%Windows%\images.zip：

            QUOTE:
            LOL, you look so ugly in this picture, no joke...
            Should I put this on facebook/myspace?
            Hey m8, who is this on the right, in this picture...
            Sup, seen the pictures from the other night?
            当对方联系人接收并打开压缩包中的病毒文件时系统受感染。

            尝试连接远程IRC接收远程攻击者指令：down.basecore.info

            Mutex:ahfabbg

            清除步骤
            ==========

            1. 删除病毒的启动项：

            [Copy to clipboard] [ - ]CODE:
            [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
            "MSN"="winlog32.exe"
            2. 重新启动计算机

            3. 删除病毒文件：
            %Windows%\images.zip
            %Windows%\winlog32.exe