中毒用戶會(huì)向MSN好友發(fā)送"Here are my very secret pictures for you.或者"Here are my pictures from my vacation(請(qǐng)接收我的照片)","hmm is this you on the photo?","Nice new photos of me and my friends and stuff"等英文消息，并會(huì)傳送“Myalbum2007.zip”壓縮文件。如果用戶接收并運(yùn)行該文件，就會(huì)中毒。 
 

 
該zip文件解壓縮后如下圖所示:

 
運(yùn)行流程:   
該蠕蟲(chóng)運(yùn)行后,會(huì)向Windows目錄下復(fù)制一個(gè)自己zip文件的副本,并且向system32目錄下寫(xiě)入一個(gè)s開(kāi)頭的Dll文件,并且注冊(cè)為com組件,這樣每次啟動(dòng)計(jì)算機(jī),該組件就會(huì)自動(dòng)插入到系統(tǒng)進(jìn)程并運(yùn)行,所以用戶很難找到并刪除該文件,表現(xiàn)現(xiàn)象就是在MSN上瘋狂向好友發(fā)送病毒文件,大量消耗系統(tǒng)資源和網(wǎng)絡(luò)帶寬.同時(shí)該蠕蟲(chóng)連接遠(yuǎn)程IRC服務(wù)器(89.188.16.60),開(kāi)啟并監(jiān)聽(tīng)20480端口,接受遠(yuǎn)程控制命令,黑客可以輕易竊取用戶計(jì)算機(jī)內(nèi)的資料,如果是局域網(wǎng)感染,會(huì)造成一個(gè)僵尸網(wǎng)絡(luò),所以對(duì)個(gè)人和企業(yè)用戶危害相當(dāng)大.
此毒在windows文件夾釋放一個(gè)Myalbum2007.zip；在system32文件夾釋放一個(gè)sysprinters.dll。此dll可插入多個(gè)應(yīng)用程序進(jìn)程。  
自動(dòng)向MSN好友發(fā)送以下內(nèi)容：（并將自己以附件的形式發(fā)送，文件名：myalbum2007.zip）   
->Here are my very secret pictures for you.

->Here are my pictures from my vacation
->hmm is this you on the photo ?
->Check out my pics from my workplace.

->Nice new photos of me and my friends and stuff...

->ahh look this is my greatest picture made on vacation 2007, take a look
->Check out my nice photo album.
->hey regarde les tof de notre bande de fous.  
->hey regarde les tof, c'est moi et mes copains entrain de....
->j'ai fais pour toi cet album de photos tu dois le voire
->stp regarde cet album de photos je lai fais specialement pour toi et mes amis...
->mes photos chaudes
->hey kijk eens naar mijn nieuwe foto album

->hey bekijk eens mijn nieuwe foto album

->hmm ben jij dit op de foto ?
->hey kijk ! dit is een lijst van mijn nieuwste fotos !!
->ahh kijk mijn mooiste foto album van vakantie 2007 bekijk ze eens   
->kijk dit zijn fotos van mij werkplek!  
->hmm ben jij dit op de foto ?
樣本名：photo album-2007.scr
病毒名： whQ
加殼：
文件大小：24,040 字節(jié)
MD5:0FF32DD50628FF68087556C83F87A666
SHA1:3B397BE044FECF190F20AF34AC6B76136E09A866
樣本名：sysprinters.dll

病毒名：  
加殼：

文件大小：52,736 字節(jié)  
MD5:EE3ED79FFB63344B6E50458B68A7814A
SHA1:15B1E629EF96FF8CBA3FEE127B8ABC8A88B3F9DF
釋放的行為： 
      C:WINDOWSmyalbum2007.zip 

      C:WINDOWSsystem32sysprinters.dll
修改注冊(cè)表，注入系統(tǒng)進(jìn)程(子鍵是隨機(jī)的，最好的方法在注冊(cè)表里搜索 sysprinters.dll，搜到即刪除子建)：
1        HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad j{
"system32" = {7D30DB45-64B4-4416-8BF1-EFC97206B84A}
2        HKEY_LOCAL_MACHINESoftwareClassesCLSID{2D3F62CC-CA48-435B-8890-9A26DAA5BA75}InProcServer32

      默認(rèn)= sysprinters.dll
3        HKEY_LOCAL_MACHINESoftwareClassesCLSID{7D30DB45-64B4-4416-8BF1-EFC97206B84A}InProcServer32 
      默認(rèn)= sysprinters.dll hfD/
MSN病毒 myalbum2007.zip查殺流程：
1、打開(kāi)注冊(cè)表編輯器，展開(kāi)：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
刪除：system32

展開(kāi)：HKEY_CLASSES_ROOTCLSID
刪除{BB009077-4264-4655-B212-FAB1CAF1DE62}（其中的InProcServer32默認(rèn)值為"sysprinters.dll"）
2、重啟系統(tǒng)。

3、刪除病毒文件。