随着即时通讯工具的强大，木马病毒也加快了脚本，MSN早就成为了其通向第三方计算机感染跳越的平台。在好友圈中，只要盗取一个MSN好友帐号或感染一台用户计算机，病毒即会伸出罪恶之手，将会在用户MSN聊天时发送病毒信息。

    病毒分析
    该病毒属于MSN蠕虫变种，被感染的计算机会自动向MSN联系人发送诱惑文字消息和带毒压缩包，当对方接收并打开带毒压缩包中的病毒文件时，系统即成为新的受害者，并因此尝试感染另一台计算机。病毒大小为434,176 字节，通过MSN聊天工具进行传播。

    被感染的计算机，病毒首先会在系统目录 %Windows%下生成含带病毒源体的F0538_jpg.zip压缩包，随后病毒自身开始在计算机中的%Windows%目录下创建副本chcp.exe 可执行文件，并在注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]分支下建立"chcp.exe"="%Windows%\chcp.exe"自启动项目，然后病毒开始修改注册分支[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下的"SFCDisable"=dword:ffffff9d  和"SFCScan"=dword:00000000值，进行关闭系统文件保护，并且更改  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]分支下的 "WaitToKillServiceTimeout"=的值为"7000"，达到更改自动关闭进程等待时间的效果。

    完成上述后，病毒仍没有安静的等待，而是查找被感染的计算机中是否存在FTP目录，如果有则将原正常程序改名为backup.ftp、backup.tftp并复制到%System%\microsoft目录下，随后在系统目录%System%下写入ftp.exe、tftp.exe、dllcache\tftp.exe、dllcache\ftp.exe可执行程序，做完一系列的手脚，病毒开始向MSN联系人发送诱惑型文字消息，并夹带毒包F0538_jpg.zip欺骗用户打开。

   清除方法
    中了此毒的用户也不要紧张，在了解了生存原理后要想清除该病毒也非难事，只要按照以下几个步骤实施即可将病毒清除出界，让系统中的MSN正常运行。

    一、首先要进入注册表分支[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下，将"chcp.exe"="%Windows%\chcp.exe"自建的随机启动项删除，完成后重启计算机。

    二、进入%Windows%\目录下将病毒源体文件chcp.exe及F0538_jpg.zip压缩包删除。

    三、将目录%System%下的FTP破坏代替程序ftp.exe、tftp.exe、dllcache\tftp.exe、dllcache\ftp.exe删除，并将%System%\microsoft目录下的backup.ftp、backup.tftp改回到目录%System%下。

    四、删除注册表分支[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下的"SFCDisable"=dword:00000000键值，恢复系统文件保护。

    五、最后将注册表[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]分支下的"WaitToKillServiceTimeout"=改为"20000" 从而恢复系统自动关闭进程等待时间的默认配置。
           
    笔者按：在MSN病毒中变体有很多种如：MSN机器人、MSN小丑、MSN性感相册等，其原理都是利用MSN作为平台在同聊友沟通的同时发送病毒信息，通过MSN好友关系欺骗用户点击，然后再次传播，从而形成强大的传播途径。为了更好的处理此类病毒，这里建议用户加强计算机的先期保护如：开启杀软定时升库，安装安全类软件，不定期打入系统补丁等，并且多了解每日病毒动态，即时作好防范工作即可，一但用户被感染时应立即作出回应，利用手工删除或下载相应的专杀工具进行清理，以免让更多的用户成为受害者。

        用PHP输出静态页面的方法，就我所知道的，有2种，一种是利用模板技术，另一种是用ob系列函数。两种方法，看起来都差不多，但是实际上，却是不同的。

这里我用smarty做例子，说明如何生成静态页

<?php
require('smarty/Smarty.class.php');
$t = new Smarty;
$t->assign("title","Hello World!");
$content = $t->fetch("templates/index.htm");
//这里的 fetch() 就是获取输出内容的函数,现在$content变量里面,就是要显示的内容了
$fp = fopen("archives/2005/05/19/0001.Html", "w");
fwrite($fp, $content);
fclose($fp);
?>
第二种方法：利用ob系列的函数。这里用到的函数主要是 ob_start(), ob_end_flush(), ob_get_content(),其中ob_start()是打开浏览器缓冲区的意思，打开缓冲后，所有来自PHP程序的非文件头信息均不会发送，而是保存在内部缓冲区，直到你使用了ob_end_flush().而这里最重要的一个函数，就是ob_get_contents(),这个函数的作用是获取缓冲区的内容，相当于上面的那个fetch(),道理一样的。代码：

<?php
ob_start();
echo "Hello World!";
$content = ob_get_contents();//取得php页面输出的全部内容
$fp = fopen("archives/2005/05/19/0001.html", "w");
fwrite($fp, $content);
fclose($fp);
?>

        前几天我把我使用的o-blog转换为utf8了。现在我整理了一下资料，把转换的过程记录下来，与大家分享一下经验，希望o-blog的新版本中可以出现utf8版本。我现在使用 o-blog 的版本为2.6如果版本不对，请你下载2.6版本.
       在转换之前，我有必要提醒你一下，你必须要把所有的网页和数据库的内容备份一下，万一转换的过程失败，你也可以迅速恢复数据或者可以重新转换。
如果你备份好数据了，那我们开始吧。我转换的思想是：将所有的文本文件的编码改为utf8,再建立新的charset为utf8的数据库。
        首先，要把o-blog使用的所有文本文件的编码改为utf8，这里所说的文本文件包括o-blog所有的php和模板文件中的html、css文件。上网搜索了一下，可以选择的工具有UltraEdit和EditPlus。不过我使用的是EditPlus。将一个打开，再选择另保存为，再覆盖原来的文件就可以了。在此过程，可能有些文件的编码无法保存为utf8，可以先不管。   
      下面开始修改文件。
       打开 admin/class/mysql.php，找到下面的这一行
      mysql_select_db($dbname);
     在其前面加入以下代码：   
      if($this->version() > '4.1') {
   mysql_query("SET NAMES 'utf8'");
          mysql_query("SET CHARACTER_SET_CLIENT=utf8");
          mysql_query("SET CHARACTER_SET_RESULTS=utf8");
  } else        
if($this->version() > '5.0.1') {
      mysql_query("SET sql_mode=''");
}  
        使用EditPlus菜单“查找”下的“在文件中查找”对话框查找charset=gb2312,其中文件夹选择o-blog所在的目录，这样可以省很多的功夫.找到后把charset=gb2312替换为charset=utf-8.      
        其次要修改原来install.php文件
        把 TYPE=MyISAM 替换为 ENGINE=MyISAM  DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci。
        然后在你的空间中运行install.php，进行新的安装，如果你使用的数据库和原来的那个相同，我特别要提醒你，使用的表的前缀必须要和原来的不同，要不然会造成数据库里面原来的数据被覆盖。
       安装结束后你可以打开o-blog来看看页面上是否出现乱码，如果出现了乱码，你得查看你使用php文件和模板文件的编码是否为utf8. 如果显示的文字，还未算转换成功。由于o-blog里面使用的切割字符串函数并不是用来切割utf8字符集，在切割得出的字符串中最后一个汉字的编码很有可能不完全，这样在网页的源代码中看到的所有中文是乱码。下面要打开admin/functions.php查找 “cn_substr”函数，大概在272行，在其前面加入以下函数：
// 用来避免 utf8 乱码
function utf8_trim($str) {
    $len = strlen($str);
    for($i=strlen($str)-1;$i>=0;$i-=1){
        $hex .= ' '.ord($str[$i]);
        $ch   = ord($str[$i]);
        if(($ch & 128)==0)    return substr($str,0,$i);
        if(($ch & 192)==192)return substr($str,0,$i);
    }
    return($str.$hex);
}
前往 291 行，就会看到 return $s."...";
在前面一行加入调用utf8_trim的以下代码
$s = utf8_trim($s);
这样的做法存在冗余的代码，不过这样做是最为简单的，希望风色可以进行改进。
      按照网上的说法，还要修改函数htmlspecialchars，把原来的用法
      $s=htmlspecialchars($s);
      改为 $s = htmlspecialchars($s,ENT_QUOTES,"UTF-8");
      我修改了一部分就没有修改了，因为我发现blog已经没有乱码问题了，查看数据库里面的内容，挺很正常。所以我也不知道那个修改有没有用了，有兴趣的网友可以试试看。
不知道你们转换怎么样了呢？我的可以正常运行了。
       下面还有一个问题，怎么样把原来的数据导入到里面去。我想到了两个解决的方向。
第一、后台里面的数据的导入导出。导入的数据会转换为gb2312,这是与现在使用utf8冲突的，这就需要修改现在代码，把原来备份的数据导进去。我没有深入了解那部分的代码，所以我不知道怎么修改,解决了导入，还要解决导出的问题。
第二、在另外一个博客程序cblog中，有把o-blog转换为cblog的程序，可以把gb2312编码的数据转换为utf8并插入到现在使用的数据库里面去。可能修改一下代码就可以拿来用了。可是这部分我也没有研究，我的日志比较少，基本上已经手动输入到现在使用的博客里面去了。
        希望风色或者longbill研究一下，怎么处理好数据的导入导出这部分，更加希望拥有新版本的o-blog。
        如果文章中还有遗漏的地方，请提出来，我边修改边测试的，当时没有作记录，现在也是考记忆来写这篇文章了。
        我在写这篇文章的时候，longbill也处理好转换为utf8的问题了，呵呵，恭喜！

XmiServer_v2.4.2 ASP+CGI+PHP+JSP+MySQL 全能服务器套件发布！

软件名称：XmiServer_v2.4.2
软件版本：v2.4.2
软件授权：免费软件
使用平台：WinNT/XP/2000/2003

下载地址：
  1.  XmiServer_v2.4.2 ASP+CGI+PHP+JSP+MySQL 全能服务器套件.rar (0 Byte , 下载:285次)  (推荐！高速下载！)
  2. http://pickup.mofile.com/cn/index.do (MoFile) 请在左上角输入文件提取码：　6376342876538358  (有时效！！！)

SWF/LFM-926 Virus:
; ------------------
; Description: WinNT/XP Virus dropper for Flash .SWF files!
; Masm Version 6.11: ML.EXE SWF.ASM
; Virus Size: 926 bytes
; Infection Size: 3247 bytes.
; Last Edit: 01/08/2002

被复仇天说后，重新看了下文件，感觉有点问题 ，特重新更改标题。
以上内容只供学习、研究使用，如果利用其来搞破坏或者是做些违法的事情。

记得刚学C++的时候，喜欢研究API，当时同事有一个高手，写了段代码，我在写程序的时候，莫明妙的，机器突然关掉了！我正在纳闷的时候，我听到了他的奸笑！ 　　原来是他干的，后来我研究了好久InitiateSystemShutdown这个API函数，了解被作弄的原理了，因为我的机器加入了Windows的域，而且域的超级用户我也设置成对我本机有Administrator权限，所以，他才有机可乘！后来写了以下这段代码，让他也在工作的时候被我远程关机，爽啊！学了新东西，又以其人之道还施彼身！
　　 //ShutDownSystem函数是关本地，自己的机器 　　
BOOL CAlarmClockDlg::ShutDownSystem() 　　 { 　　 HANDLE hToken; 　　 TOKEN_PRIVILEGES tkp; 　　 // Get a token for this process. 　　 if (!OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken)) 　　 AfxMessageBox("OpenProcessToken"); 　　 // Get the LUID for the shutdown privilege. 　　 LookupPrivilegeValue(NULL, SE_SHUTDOWN_NAME,&tkp.Privileges[0].Luid); 　　 tkp.PrivilegeCount = 1; // one privilege to set 　　 tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; 　　 // Get the shutdown privilege for this process. 　　 AdjustTokenPrivileges(hToken, FALSE, &tkp, 0,(PTOKEN_PRIVILEGES)NULL, 0); 　　 if(GetLastError()!= ERROR_SUCCESS) 　　 AfxMessageBox("AdjustTokenPrivileges"); 　　 // Shut down the system and force all applications to close. 　　 if(!ExitWindowsEx(EWX_SHUTDOWN|EWX_FORCE, 0)) 　　 { 　　 return FALSE; 　　 } 　　 else 　　 { 　　 return TRUE; 　　 } 　　 } 　　 //shutdownHost这个就是远程关机的C++函数了！hostName可以是机器IP，也可以是机器名字！ 　　 BOOL CAlarmClockDlg::shutdownHost(CString hostName) 　　 { 　　 HANDLE hToken; // handle to process token 　　 TOKEN_PRIVILEGES tkp; // pointer to token structure 　　 BOOL fResult; // system shutdown flag 　　 // Get the current process token handle so we can get shutdown 　　 // privilege. 　　 if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken)) 　　 AfxMessageBox("OpenProcessToken failed."); 　　 // Get the LUID for shutdown privilege. 　　 LookupPrivilegeValue(NULL, SE_SHUTDOWN_NAME, &tkp.Privileges[0].Luid); 　　 tkp.PrivilegeCount = 1; // one privilege to set 　　 tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; 　　 // Get shutdown privilege for this process. 　　 AdjustTokenPrivileges(hToken, FALSE, &tkp, 0, (PTOKEN_PRIVILEGES) NULL, 0); 　　 // Cannot test the return value of AdjustTokenPrivileges. 　　 if (GetLastError() != ERROR_SUCCESS) 　　 AfxMessageBox("AdjustTokenPrivileges enable failed."); 　　 // Display the shutdown dialog box and start the time-out countdown. 　　 fResult = InitiateSystemShutdown("192.168.100.245", // shut down local computer 　　 "Click on the main window and press the Escape key to cancel shutdown.", // message to user 　　 1, // time-out period 　　 FALSE, // ask user to close apps //注意这一段API调用！ 　　 FALSE); // reboot after shutdown 　　 if (!fResult) 　　 { 　　 AfxMessageBox("InitiateSystemShutdown failed."); 　　 } 　　 // Disable shutdown privilege. 　　 tkp.Privileges[0].Attributes = 0; 　　 AdjustTokenPrivileges(hToken, FALSE, &tkp, 0, (PTOKEN_PRIVILEGES) NULL, 0); 　　 if (GetLastError() != ERROR_SUCCESS) 　　 { 　　 AfxMessageBox("AdjustTokenPrivileges disable failed."); 　　 } 　　 return TRUE; 　　 }

flv 侦测、播放器-----UUmeFLVSpy环境：2000、2003、xp、vista

功能：在线flv视频下载兼播放

播放器界面如下

以上网站大部分都支持！

如何使用？

准备好迅雷、暴风2007和这款软件

1打开六间房，随便点击一个视频，复制地址栏中的地址。

2启动软件，把刚才复制的地址粘贴。如图所示。

3点击开始捕获，软件开始嗅探真实的地址。
4真实地址会在下面的列表中显示，都是flv文件，右击复制。

5启动迅雷，右击悬浮窗----新建下载任务-----确定。一会就能下载完毕了！
6因为该软件自带的播放器不能控制进度，建议大家用暴风2007。开始----程序-----暴风-----暴风综合设置----文件关联----全部视频 如图

说明：
1如果想快速操作，可以在迅雷中添加对flv文件的监视，这样一旦复制了真实地址，只要迅雷启动，就一下子弹出下载窗口。
2下载没有反应了，可以暂停在重新下载。
3对新浪的在线视频也支持的很好。
4软件自带的下载是调动ie下载，比较慢，建议用迅雷。如果你要下载的已经播放完毕，建议用软件自带的下载。其实是把ie缓冲（C:Documents and SettingsAdministratorLocal SettingsTemporary Internet Files）中的文件复制了一份。呵呵。。。。。
5如果你不怕麻烦，也可以自己到ie缓存中寻找！
               点击下载：能让您下载土豆、六间房等在线视频的软件.rar (1.3 MB , 下载:20次)