MSN照片病毒 photos.zip (Worm.Mail.Photocheat.a)

自上兩次後，MSN再有新病毒。

病毒名稱：MSN照片 (Worm.Mail.Photocheat.a)
病毒類型：蠕蟲病毒
病毒危害級別：★★★☆
病毒發作現象及危害：

該病毒會通過MSN發送內容有機會如下

"My friend to ok nice photos of me.you Should see em loL!

Here are my private pictures for you

Check out my sexy boobs :D

its only my photos

Nice new photos of me!!:P

here are my pictures from my vacation

Nice new photos of me and my friends and stuff and when i was young lol..."

同時附帶一個壓縮檔案。

用戶運行該壓縮檔中的程式即會被病毒感染。
病毒還會在用戶電腦裏釋放一個後門程式，駭客可以利用IRC軟體遠端控制中毒電腦，竊取個人資料，從而使用戶面臨極大的安全威脅。

另外，該病毒十分隱蔽，中毒電腦無異常表現。此病毒會秘密向所有MSN聯絡人發放含有該病毒的壓縮檔案，當對方(MSN聯絡人)下載及解壓後就會中毒，繼而散播。

手動刪除：

一、刪除病毒的註冊表啟動資料

1 : 重新開機，開機期間按 F8 進入安全模式（不含網絡指令）

2 : 在我的電腦 Right Click > 內容 > 系統還原 > 關閉

3 : 開始 -> 執行 -> regedit，找到 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]，右邊在 "syshosts" 的機碼，記下CLSID， 例如 {8D4C2FB9-6DF1-46EA-B6A0-6403640115D6}。

4 : 刪除 syshosts 機碼。

5 : 再到 [HKEY_CLASSES_ROOT\CLSID]，展開並找出剛才的{8D4C2FB9-6DF1-46EA-B6A0-6403640115D6}，將整個Folder刪除。

6 : 重新開機，並刪除 C:\Windows\photos.zip（或 C:\Windows\photo album.zip） 及 C:\Windows\System32\syshosts.dll 或 C:\Windows\System32\rdshost.dll

二、重新啟動電腦

三、重新啟動電腦，檢查這幾個檔是否存在，如果不存在，則病毒已被清除乾淨。

註：此病毒已有變種，請提高警覺!

以上內容綜合自瑞星及各討論區。

病毒相關新聞
"MSN相片"病毒爆發不要接收"photos.zip文件"

“MSN相片”最新病毒分析報告以及手工清除方法