MSN机器人新病毒解决方案

我之前中了这个病毒，虽然用雨过天晴电脑保护系统恢复了一下就好了，但是后来上网看到这个帖子，就转载来大家分享看看。最近貌似很流行，大家不妨看看。
' f* c- l) I# I3 ]8 P7 Y& L以下内容摘自金山铁军blog：1 }. i: ^! u* Q# K5 W8 H
昨天一朋友的MSN中招，发来个新的附件，附件为img807.zip，查看该压缩包，发现一完整文件名为img807.jpg-www.photoalbums.com，千万别双击哦。这是最新的MSN机器人病毒，病毒名为Win32.Troj.MsnBot.ce.86528。珠海引擎组的兄弟说，该病毒有利用MSN传播的代码，但是代码中并没有调用，因此不会象前几次MSN机器人病毒一样，不会引发大面积的传播。但同时，他提醒说，这个病毒有可能出现更新的版本。% r+ p5 {; |3 U6 N. @2 f
7 {' [" V/ F2 i! ~% [& P2 x

6 E. F$ p) p4 _, X5 e4 w: r/ H/ y该病毒主要会释放一个IRC后门，接受黑客远程指令。病毒会关闭windows 安全中心服务，在虚拟机中拒绝运行，以此逃避被部分反病毒业余爱好者检测分析。2 x/ [  A! D6 a8 h1 v. V5 I3 v4 S) _& X

! _' f% A  h  ~以下是该病毒的详细分析报告：
8 |* Z8 |- a4 F- M! v9 X3 X2 n+ W
* n) n9 w% F2 |: O; p# S% J1：拷贝自己与释放文件/ L9 ^; p; `# [5 z6 c$ L; R
病毒运行后，会把自己拷贝到系统目录下
' {) G. p0 I3 o. z! N%Windows%\\vpcrtf.exe
- j+ Y4 z2 r3 S1 @并加入一个zip头保存自己
$ g# x8 q7 P  s" A$ ?3 M* m# J%Windows%\\img807.zip
2 T' n) y; V* u- p
' M% O* S, a( j  b8 o6 f2：添加自启动
7 q( N. h) J) M; L' Y病毒会添加自启动  r; \  q/ q5 u' w9 q/ {
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run3 J- b, N( L( v+ S
Microsoft Virsual Application = vpcrtf.exe
3 @% [  @* M# \+ C7 U
. A1 @, K8 G( }3：连接IRC) S$ D1 Y7 x1 K) {3 l
病毒会连接IRC，接受黑客指令) }0 b2 o6 b/ ^& r9 b* p. ~
IRC地址为vpn.base****.info
# q2 x1 l+ t; Q) O0 s; H接受指令：. S- M. E1 }( ?5 l
ERROR
' U0 Z. W4 _) h2 ~PRIVMSG3 w% ^: ]9 t$ h2 i  ]
KICK
% k6 m$ U0 Q. K, b5 vTOPIC6 Q1 P  ^& T0 @# O3 B
332
, K0 H8 z% W5 y  h: J7 Z, y' J& N. }366
% d2 T6 n" q7 E" f005# C( i: y: w" o( ~
376
! `; w% D7 W: M. o/ e422) }8 ?0 Z7 L$ }+ a
433
& H/ W" g) e7 v% _1 }0 l
1 T5 J9 G0 g+ H  b4：发送本机信息3 v& U8 M1 a: L- o. L; |
病毒会尝试向IRC发送受感染机器的信息，如IP、机器名等。
2 y, M, B% r: k! @& I+ v+ b# @9 X" V( F* ^4 ?, I4 T
5：关闭服务0 L, L( a' Q% P: f" y
病毒会关闭服务名为Security Center与 winvnc4的服务。. L0 }5 A7 S4 K- b' k9 ?

) B7 p% k: \8 x9 A. s, C% i6：反虚拟机
9 B# K8 L# g+ X; u( K) [9 F- d病毒使用了利用了3种方法反虚拟机，当检测到虚拟机时就直接退出。