欢迎进入反病毒社区论坛，与技术人员互动交流进入

病毒名称：IM-Worm.Win32.Agent.j [exe]（Kaspersky）
            病毒别名：Win32.Troj.MsnBotT.c.26000 [dll]（毒霸）
            　　　　　 Worm.Win32.MSNPhoto.d [dll]（瑞星）
            病毒大小：46,080 字节
            加壳方式：
            样本MD5：1d37fb2493565c999ce102d0b960ced9
            样本SHA1：55e569a445579a7fc7d4c01bc4c8bc0efe2d4132
            发现时间：2007.8
            更新时间：2007.8
            关联病毒：
            传播方式：通过MSN传播 

            技术分析
            ==========

            MSN蠕虫病毒变种，根据系统.语言向MSN联系人发送诱惑文字消息和带毒压缩包，当联系人接收并.打开压缩包中的病毒文件时系统受到感染。

            病毒运行后在系统目录生成包含自身的带毒ZIP压缩包：
            %Windows%\MyGallery5156.zip
            其中包含病毒文件名为：PGC5156.jpg-www.gallery-world.com 字串3

            释放dll注入.进程：
            %System%\w32_mjd.dll

            创建ShellServiceObjectDelayLoad启动方式：

            [Copy to clipboard] [ - ]CODE:
            [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
            "mjd"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"

            [HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
            @="w32_mjd.dll"
            注：{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为一串CLSID，病毒生成的CLSID不固定，如：{7494EBC3-2FF8-4FD0-A4CB-772845812101}

            根据染毒系统的语言.向MSN联系人发送相应文字消息，同时发送带毒压缩包MyGallery5156.zip：

            QUOTE:
            u?lo hacen usted pensar de mi 醠bum que pienso que miro ugly:(
            Aqu?est?mi 醠bum de foto nuevo
            可ste es mi 醠bum de foto nuevo qu?usted piensan?
            縐sted ha visto mi 醠bum?
            縈i 醠bum de foto parece malo?
            縌u?cuadro debo utilizar de esto en msn?
            縌u?usted est?pensando de esto?
            Was, Sie an mein Album denken, das ich denke, da?ich ugly:(schaue
            Ist hier mein neues Fotoalbum  
            Haben Sie mein Album gesehen?
            Schaut mein Fotoalbum schlecht?
            Welche Abbildung sollte ich von diesem auf msn benutzen?
            Was denken Sie an dieses?
            Wat u over mijn album dat ik denken ik kijk ugly:(heb gedacht
            Hier mijn nieuw fotoalbum
            Dit is mijn nieuw fotoalbum wat u denken?
            Hebt u mijn album gezien?
            Welk beeld zou ik van dit op msn moeten gebruiken?
            Wat denkt u over dit?

            Ce qui vous penser de mon album que je pense que je regarde ugly:(
            Voici mon nouvel album photos   Avez-vous vu mon album ?
            Mon album photos semble-t-il mauvais ?
            C'est mon nouvel album photos ce qui vous pensent ?
            Quelle image est-ce que je devrais employer de ceci sur le msn ?
            Que pensez-vous de ceci ?
            What do you think of my album i think i look ugly:(
            Here's my new photo album
            This is my new photo album what do you think?
 
            Have you seen my album?
            Does my photo album look bad?
            Which picture should i use from this on msn?
            What are you thinking about this?
            尝试连接远程IRC：secure.bindshell.info 

            清除步骤
            ==========

            1. 删除病.毒创建的ShellServiceObjectDelayLoad启动方式： 

            [Copy to clipboard] [ - ]CODE:
            [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
            "mjd"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"

            [HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
            @="w32_mjd.dll"
            2. 重新启动.计算机

            3. 删除病毒文件：
            %Windows%\MyGallery5156.zip
            %System%\w32_mjd.dll
            %UserProfile%\new.txt（可能存在）