病毒名称: Worm.MSNFunny

中文名称: MSN小尾巴

威胁级别: 三级

病毒类型: 蠕虫

受影响系统: Win9x/WinNT/Win2K/WinXP/Win2003

发现时间:2004年10月10日

破坏方式：

A、将自身复制到系统目录下，在Windows 98系统下，并会替换系统文件Rundll32.exe，导致系统不能正常关机；

B、在WinNT/Win2000/WinXP/Win2003系统下，会修改Host文件，使用户在访问正常网站时连接到www.***78p.com，影响了用户对网站的正常访问；

C、病毒会利用MSN、QQ传播，将病毒自身以funny.exe文件名发送给好友，诱使感染用户的好友运行该文件。

发作特点:

A、在Windows 98/me系统下，会替换系统文件Rundll32.exe，导致系统不能正常关机；

B、WinNT/Win2000/WinXP/Win2003下会修改Host文件，使用户在访问近千个主流网站时转连到www.***78p.com，可能导致对该网站的DoS攻击；

C、病毒利用MSN，QQ传播，将病毒自身以funny.exe文件名发送给好友，并发送如下消息之一：

一家新开的酒吧，晚上聚聚，这里有介绍 www.***78p.com,记得给我电话

朋友，多注意休息啊，可以到这里放松放松哦，www.***78p.com

我们也来俗一把如何，看MM去，www.***78p.com，够味！呵呵！

日本人在南京大屠杀的铁证!坚决抵制日货 www.***78p.com

对中国威胁最大的十个国家!列表 www.***78p.com

我见过最漂亮的视频MM (不看可别后悔), www.***78p.com

《中国农民调查》页页血泪，惊动中央 转自网易, www.***78p.com

技术特点:

1、将自身复制到：

%SystemRoot%\rundll32.exe（98下会替换系统文件，导致系统不能正常关机）

%System%\explorer.exe

%System%\IEXPLORE.EXE

%System%\userinit32.exe

C:\funny.exe

2、生成

%System%\BSFIRST2.LOG 日志文件

3、Win9x/ME下 病毒会修改system.ini文件

[boot]

Shell=explorer.exe

为以下内容

[boot]

Shell=%System%\explorer.exe

4、病毒每隔60秒，就会注册表主键

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

添加如下键值：

"MMSystem"="%SystemRoot%\rundll32.exe "%System%\mmsystem.dll"", RunDll32"防止用户更改该键。

5、WinNT/Win2000/WinXP/Win2003系统下，会将注册表主键

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

的键值

"Userinit"="%System%\userinit.exe,"

修改为：

"%System%\userinit32.exe,"

使得系统加载的不是正常的userinit.exe，而是病毒文件。

6、病毒会运行多个进程，并监视自身进程是否被关闭，如果关闭，则再启动自身。

7、病毒会利用MSN，QQ传播，将病毒自身以funny.exe文件名发送给好友，诱使感染用户的好友运行该文件。并发送如下消息之一：

一家新开的酒吧，晚上聚聚，这里有介绍 www.***78p.com,记得给我电话

朋友，多注意休息啊，可以到这里放松放松哦，www.***78p.com

我们也来俗一把如何，看MM去，www.***78p.com，够味！呵呵！

日本人在南京大屠杀的铁证!坚决抵制日货 www.***78p.com

对中国威胁最大的十个国家!列表 www.***78p.com

我见过最漂亮的视频MM (不看可别后悔), www.***78p.com

《中国农民调查》页页血泪，惊动中央 转自网易, www.***78p.com

8、在C盘根目录下建立一个名为Killme.cmd 或Stopme.cmd文件，则病毒会停止运行。

9、WinNT/Win2000/WinXP/Win2003下会修改Host文件

%System%\drivers\etc\hosts为

127.0.0.1 localhost

222.89.98.219 www.wo365.com

222.89.98.219 cmfu.com

222.89.98.219 www.cmfu.com

222.89.98.219 9i0.com

222.89.98.219 www.9flash.com

222.89.98.219 9flash.com

222.89.98.219 www.nowok.net

222.89.98.219 nowok.net

222.89.98.219 wisa.com.cn

222.89.98.219 www.sia.com.cn

222.89.98.219 www.wisa.cn

222.89.98.219 wisa.cn

222.89.98.219 www.zhao99.com

222.89.98.219 zhao99.com

222.89.98.219 www.wo123.com

222.89.98.219 wo123.com

222.89.98.219 wo99.com

222.89.98.219 www.wo99.com

222.89.98.219 www.page.com.cn

222.89.98.219 page.com.cn

222.89.98.219 www.432.cn

222.89.98.219 432.cn

222.89.98.219 wysw.com

222.89.98.219 14.com.cn

222.89.98.219 www.14.com.cn

222.89.98.219 cnww.net

222.89.98.219 www.mv99.com

222.89.98.219 mv99.com

222.89.98.219 www.youav.com

222.89.98.219 www.mtvav.com

222.89.98.219 www.98983.com

222.89.98.219 98983.com

222.89.98.219 www.114.com.cn

222.89.98.219 114.com.cn

222.89.98.219 www.net114.com

222.89.98.219 www.skywz.com

222.89.98.219 skywz.com

222.89.98.219 www.hao6.com

222.89.98.219 hao6.com

222.89.98.219 www.678a.com

222.89.98.219 678a.com

222.89.98.219 www.7510.com

222.89.98.219 7510.com

222.89.98.219 www.zzkan.com

222.89.98.219 zzkan.com

222.89.98.219 www.ca183.com

222.89.98.219 ca183.com

222.89.98.219 3tom.com

222.89.98.219 www.yhjm.com

222.89.98.219 yhjm.com

222.89.98.219 www.k369.com

222.89.98.219 www.xxwww.com

222.89.98.219 xxwww.com

222.89.98.219 www.fm1000.net

222.89.98.219 fm1000.net

222.89.98.219 www.ok135.com

222.89.98.219 ok135.com

222.89.98.219 www.link999.com

222.89.98.219 link999.com

222.89.98.219 www.001wz.com

222.89.98.219 001wz.com

222.89.98.219 www.7t7t.com

222.89.98.219 7t7t.com

222.89.98.219 www.7k7k.com

222.89.98.219 7k7k.com

222.89.98.219 www.webcool.net

222.89.98.219 webcool.net

222.89.98.219 www.51sobu.com

222.89.98.219 51sobu.com

222.89.98.219 c