★目前网络上新出现的MSN"photos.zip"蠕虫病毒简介与手工删除方法

☆病毒简介
　　名称：Worm/MSN.SendPhoto.a
　　病毒类型：蠕虫
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　病毒运行特征：
　　病毒运行后，将创建下列文件：
　　%WinDir%\photos.zip, 479382字节
　　%SystemDir%\syshosts.dll, 22016字节
　　在 注册表中添加下列启动项：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
　　"syshosts" = {71b1b601-4599-40ff-a283-73fc3c7de863}
　　这样，在Windows启动时，病毒就可以自动执行。
　　其中syshosts.dll 文件会注入到当前所有进程中。
　　该病毒运行时，会通过MSN即时聊天工具向MSN上的好友发送大小为479382 字节的photos.zip 病毒包，该压缩包里面包含名为photos album-2007-5-26.scr病毒文件，同时会随机向好友发送以下语句：
　　its only my photos!
　　Here are my private pictures for you
　　Here are my pictures from my vacation
　　My friend took nice photos of me.you Should see em loL!
　　Nice new photos of me and my friends and stuff and when i was young lol...
　　Nice new photos of me!! :p
　　Check out my sexy boobs :D
　　病毒以此来引诱用户点击，当用户接收该ZIP压缩包后，如果双击运行里面的文件，就会成为一个新的病毒传播源。中毒电脑将会连接远程的IRC服务器，接收黑客远程控制。


☆删除方法

　　一、删除病毒在注册表中的启动项目
　　1、点击“开始”菜单，选择运行。输入“regedit.exe”启动注册表编辑器。
　　2、打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad项，找到名为“syshosts”一项，将其值记录下来。例如本机中该值为“{8D4C2FB9-6DF1-46EA-B6A0-6403640115D6}”。
　　3、将syshosts项删除。
　　4、打开注册表中的HKEY_CLASSES_ROOT\CLSID项，找到刚刚记录下的项目，本例中为{8D4C2FB9-6DF1-46EA-B6A0-6403640115D6}.
　　5、重新启动计算机。

　　二、删除病毒文件
　　1、打开“我的电脑”，选择菜单“工具”-》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。同时取消掉“隐藏已知类型文件的扩展名”前的对勾，然后点击“确定”。
　　2、进入Windows文件夹(默认为C:\Windows)，找到名为“photos.zip”的文件，将其删除。
　　3、进入系统文件夹(默认为C:\Windows\system32)，找到名为“syshosts.dll”的文件，将其删除。
　　4、再次重新启动计算机，查看这两个文件是否存在，若不存在，则说明病毒已经被清除干净。