MSN病毒是指那些通过MSN发送含毒文件或含毒网页链接,实现自我传播的恶意程序。大多数的MSN病毒的工作流程都相当类似,分为下面3个步骤:
1、病毒获取用户的MSN好友名单,向每个好友发送病毒文件或恶意网址;
2、当MSN好友们接收运行病毒文件,或者点击了恶意网址后,遭到感染;
3、病毒在每个好友的机器上,又开始了步骤1~3的工作流程。
凭借MSN即时通讯和用户量大的特征,很多MSN病毒都在短时间(几个小时)内感染了大量用户。对于病毒来说,MSN是个传播平台,因此,称它们为MSN蠕虫来得更加准确。
据我所知,最早的MSN蠕虫是出现在2001年4月的I-Worm/Funny,也被叫做Worm.Hello,因为它会通过MSN发送一个名为“Hello.exe”的文件。2001年,我正在大学读计算机系,对MSN也只是略有耳闻,同学们几乎没人用它。那时国内的MSN用户量很少,所以这个病毒对国内用户影响很小。
随着MSN在国内用户数量的激增, MSN蠕虫家族的“后辈”们所带来的危害、影响远远超过了“开山鼻祖”。
2003年12月,江民公司截获了Flooder.MSN.Convont,运行后会向所有MSN好友发送“今天我请你吃饭”、“I love you, my baby”、“I love you. darling”等信息。它并不会主动把自己传播出去,所以并不是蠕虫,而只是一个恶作剧程序。即便如此,在2003年12月11日那天,我还是收到了来自好友们的4、5条“请饭邀请”。2004年7月,另一个很相似的样本被截获——Flooder.MSN.Marry,它发送的消息是“明天我结婚”。
国内早期的MSN病毒大多是这种恶作剧类型,它们不会通过MSN传播,也不会对系统造成什么破坏,唯一的功能是惹人烦。
相比之下,同期来自国外的MSN病毒更成熟些。2004年7月,一只名为“MSN射手”的蠕虫(I-Worm/MSN.Sinmsn.c)在韩国大面积爆发。“幸运”的是,“MSN射手”只针对韩文版的MSN,不会从非韩文用户的机器上扩散。它对国内用户基本上没有影响。
在我印象中,可以称得上“爆发”的第一只国产MSN蠕虫是2004年10月10日被江民截获的“MSN小丑”(I-Worm/MsnFunny)。它通过MSN向好友发送自身复本funny.exe和某个网站的地址,并把900多个常用网站重定向到该网站上。在传播的同时,为某网站大做广告,带来了巨大的访问量。该蠕虫爆发后的几个小时内,江民反病毒中心就收到了数百份感染报告。这也是相当比例的国内MSN用户第一次遭遇MSN蠕虫的袭击。
越来越多MSN蠕虫的出现,迫使微软对MSN进行了安全升级,禁止直接传送exe文件,希望借此遏制MSN蠕虫的势头。但就在2005年初,“MSN性感鸡”和“MSN好快”蠕虫的先后爆发,证明微软的这一安全升级完全是形同虚设。
2005年2月3日,MSN性感鸡(I-Worm/MSN.DropBot.b)爆发,该蠕虫运行后的最大特点是,会显示一幅恶搞的性感烧鸡图片。同时,蠕虫还会释放后门程序,感染计算机被黑客完全控制。它不仅通过MSN传播,还可以通过多种系统漏洞和弱口令传播,感染能力极强。“MSN好快”在同年3月爆发,可以通过MSN和P2P共享软件传播。这两只蠕虫都会发送自身的复本文件,它们把文件名后缀设置成“.pif”或“.scr”,这也是可执行文件的合法后缀名,很容易地绕过了MSN“禁止传送exe文件”的限制。
“MSN性感鸡”和“MSN好快”的“成功”,吸引了一大批跟风者。称2005年是 “即时通讯软件蠕虫年”,应该不过分。通过各种即时通讯软件传播的国产蠕虫比例急速上涨,并且第一次出现了通过QQ发送自身复本的蠕虫。到了这个时期,通过MSN传播的技术已经被病毒作者们熟练应用,很多老牌木马、后门也纷纷增加了MSN传播的功能。比如著名的盗号木马“武汉男生”(Trojan/PSW.Whboy)——让人联想到李俊,他在熊猫烧香病毒里面也留下了“Whboy”的字样——就增加了通过MSN、QQ、UC、网络泡泡传播的代码。
2006年对于MSN病毒来说,是波澜不惊的一年,种类和数量依然不少,却没有什么大规模爆发,能让人记得住它们的名字。如果一定要找出点关于MSN的回忆,那就是“中国缘”网站利用大批MSN机器人冒用网友MSN账号发起的“骚扰事件”了,可能有很多国内的MSN用户都遇到过。先是一个陌生人请求加为好友,一旦通过后,就会发来一个指向“中国缘”的网址;或者在hotmail信箱中发现自己的MSN好友发来的电子邮件,内容同样是在宣传该网站。为此,很多用户曾经求助于江民反病毒中心,怀疑自己感染了病毒。但经过调查发现,这并非病毒引起的。网友在中国缘网站的提示下,输入了自己的MSN账号密码,导致账号被冒用。
2007年6月1日被江民截获的 “性感相册”蠕虫是最近1年多以来爆发最为迅猛的MSN蠕虫。它会通过MSN发送一个含毒的ZIP压缩包,压缩包里面是病毒程序。中毒电脑还会连接远程的IRC服务器,接收黑客远程控制,成为“僵尸计算机”。
由于最新版本的MSN已经禁止直接传送exe、pif、scr等类型的文件,“性感相册”选择了把自己先放进ZIP压缩包,然后在发送ZIP的方法。这样虽可以绕过MSN的屏蔽,但似乎会降低病毒扩散的速度:用户需要接收含毒ZIP文件、解压ZIP文件、点击运行里面的程序,才会被感染。可是,从爆发当天的收到的感染报告数量来看,解压ZIP文件带来的麻烦显然不足以削弱用户的好奇心,蠕虫的传播速度一点也不比2年前的“MSN性感鸡”差。
上面简要回忆了一下我所知道的MSN蠕虫们。利用MSN进行传播,已经成为恶意软件的常用技术,五花八门的后门、蠕虫、木马都有能通过MSN传播的样本。其实,避免感染MSN蠕虫、感染后降低其危害程度,都是不难做到的,总结成下面4点,希望与读者分享:
1、对于好友发来的可疑文件,在接收前一定先询问清楚;
2、一定要安装杀毒软件,及时更新病毒库。从MSN接收下来的文件应使用杀毒软件扫描;
3、一旦发现自己的电脑有自动向好友发送信息、文件等症状,应立即结束MSN程序,然后更新病毒库,使用杀毒软件或专杀工具对系统进行扫描;
4、不要在不明网站上暴露自己MSN账号的密码。