有周杰伦的粉丝要小心 有周杰伦的图片的病毒

         一个恶心的病毒 

         微点拦截的

　　该程序是一个E语言编写的恶意程序，长度1,546,468 字节，封装有E语言支持库文件，激活后将一幅周杰伦的图片全屏显示，并有“您好”等字样（如图1）；通过IFEO手段禁用了一些系统工具及其杀毒软件程序，使得系统无法正常使用；以数字序号为病毒文件名（如“1.exe”、“2.exe”……），无限制填充硬盘可用空间，造成计算机处于假死状态。

 

图1

http://mpicture.micropoint.com.cn/getpic.asp?sid=b8e7cc0a4d81b251e66ca84f6fdb4b66 
  

        病毒分析
　

   　病毒运行后会释放病毒主体文件sysgoo.exe到系统目录的system32目录下并设置为系统、隐藏属性，释放E语言支持库文件KRNLN.FNR到临时目录的E_4目录下；由LoadLibraryA函数调用转接Windows API，写注册表IFEO项使得taskmgr.exe、qq.exe、360safe.exe、regedit.exe、avp.exe、cmd.exe等程序文件被映像劫持，运行上述程序时会被自动重定向到病毒文件sysgoo.exe上，以实现自动运行病毒程序；以数字序号作为文件名，1.exe、2.exe、3.exe直至无穷大，恶意在系统盘根目录、当前用户“桌面”目录、当前用户“开始菜单”目录、当前用户“启动”目录频繁复制病毒主体文件，试图恶意侵占用户系统分区的可用空间，将其完全填满；启动目录中被写入的大量病毒文件会造成重启后系统资源占用极高，计算机基本上无法正常操作；大量病毒文件都被设置为系统、隐藏属性，所以一般情况下用户较难发现。

 

         中毒现象

　　

         此恶意程序会造成CPU资源严重升高，直至100％；系统盘可用空间急剧下降，直到出现因磁盘容量不够Windows报警；重启开机无桌面，取而待之的却是一幅周杰伦的图像，taskmgr.exe、qq.exe、360safe.exe、regedit.exe、avp.exe、cmd.exe等程序无法运行，系统被锁定等现象。

 

         感染对象

 

Windows 98/Windows ME/Windows2000/Windows XP/Windows2003 传播途径

        网页木马传播 
  
        安全提示

　　已安装微点主动防御软件的用户，无论您是否已经升级到最新版本，微点主动防御都能够有效防御该恶意程序。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理，参见图2；