病毒名稱: Worm_Funny.A
病毒別名: WORM_FUNNER.A
I-Worm/MsnFunny
Worm.MSN.funny
Worm.MSNFunny
病毒類型: 蠕蟲
1、生成病毒文件:
病毒運行後,會在%System%目錄下生成RUNDLL32.EXE文件及自身拷貝,分別為:
EXPLORER.EXE 、
IEXPLORE.EXE 、
USERINIT32.EXE ,
還有壹個名為BSFIRST2.LOG的日誌文件。
(其中,%System%在Windows 95/98/Me 下為C:\Windows\System,在Windows NT/2000下為C:\Winnt\System32,在Windows XP下為 C:\Windows\System32)
另外,在Windows98和ME系統中,病毒會用自身拷貝覆蓋原始的RUNDLL32.EXE文件。
2、修改註冊表項:
病毒添加註冊表項,使得自身能夠在系統啟動時自動運行,在
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 下添加
MMSystem = "MMSystem" = %System%\mmsystem.dll"", rundll32"
在Windows 2000和XP系統中,病毒還會創建如下註冊表項目:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下添加
Userinit = "userinit32.exe
解決方案:WIN 2000/XP用戶:
1.如果電腦安裝了多操作系統,請從另壹個操作系統啟動,將已感染
系統的%SYSTEM%\userinit.exe復制壹份,並改名為userinit32.exe。
重新啟動即可。
2.如果電腦上是單操作系統,請用系統啟動光盤啟動到故障修復控制臺,然後輸入以下命令
cd system32
copy userinit.exe userinit32.exe
重新啟動即可。