Win32.Troj.MSNbot.av.25600是一个利用MSN即时聊天工具进行传播的后门程序。它会向中毒用户的MSN联系人发送伪装成照片的含毒文件，当对方接收并打开后，病毒就会在对方的电脑系统中制作后门，等待黑客入侵。

病毒判断当前是否存在MSN窗口，如有则向所有联系人发送指定诱惑性语言和文件DSC01497.zip，解压后为病毒副本，副本文件名img0913**-www.photoshop.com；如无MSN窗口则连接指定服务器，发送本机信息并接收指令，受感染用户即被控制；

1．释放文件：
%WinDri%DSC01497.zip，
%System32%dllcachespoolms.exe

2.修改注册表，创建自启动项
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun，
“spoolms.exe”＝ %System32%dllcachespoolms.exe

修改注册表，在Windows防火墙中添加自身到例外列表：
HKLMSYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList，
“X:WINDOWSsystem32dllcachespoolms.exe”=X:WINDOWSsystem32dllcachespoolms.exe:*:Enabled:Windows Sharing

修改等待服务关闭时间
HKLMSYSTEMCurrentControlSetControl，"WaitToKillServiceTimeout"="7000"

3．如有MSN程序运行，向当前联系人发送文件DSC01497.zip；

4．通过判断系统版本，选取文本信息以诱惑联系人接收文件。

5．连接指定IRC服务器58.20.109.46,目的端口21888，协议：Tcp，
向该端口发送交互信息连接服务器：
PASS SireEnX ;密码
NICK [00|CHN|XP|873490] ；昵称由本机信息字符序列组成
USER XP-9225 * 0 :SANLEN-50804D50 ；当前主机名
并从服务器接收黑客指令执行。

推荐安装金山毒霸正版的杀毒软件进行全面监控，防范日益增多的病毒。

怀疑中毒的用户可使用线查毒进行病毒查证。免费在线查毒地址：
http://www.antidu.cn/board/online/

已经中毒的用户，可以去论坛提问求助
http://bbs.antidu.cn