spoolms.exe,DSC01497.zipMSN蠕虫照片25600,Win32.Troj.MSNbot.av.25600是一个利用MSN即时聊天工具进行传播的后门程序。它会向中毒用户的MSN联系人发送伪装成照片的含毒文件，当对方接收并打开后，病毒就会在对方的电脑系统中制作后门，等待黑客入侵。

病毒判断当前是否存在MSN窗口，如有则向所有联系人发送指定诱惑性语言和文件DSC01497.zip，解压后为病毒副本，副本文件名img0913**-www.photoshop.com；如无MSN窗口则连接指定服务器，发送本机信息并接收指令，受感染用户即被控制；

病毒行为：

1．释放文件：
%WinDri%\DSC01497.zip，
%System32%\dllcache\spoolms.exe

2.修改注册表，创建自启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，
“spoolms.exe”＝ %System32%\dllcache\spoolms.exe

修改注册表，在Windows防火墙中添加自身到例外列表：
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firewal

lPolicy\StandardProfile\AuthorizedApplications\List，
“X:\WINDOWS\system32\dllcache\spoolms.exe”=X:\WINDOWS\system32\dllcache\spoolms.exe:*:Enabled:Windows Sharing

修改等待服务关闭时间
HKLM\SYSTEM\CurrentControlSet\Control，"WaitToKillServiceTimeout"="7000"

3．如有MSN程序运行，向当前联系人发送文件DSC01497.zip；

4．通过判断系统版本，选取文本信息以诱惑联系人接收文件。
以下是部分待选取信息：
ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI BIEREN !!. -D:i)X X W&_ K S
YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :s !!.
JIESHOU WO DE ZHAO PIAN :> !!.
KAN WO DE ZHAOPIAN :D.
NI HE WO !!! .... QING KAN :D. +l p0i L$Y w0{
kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI :<. :P2i O t ^(A5s E#A
wow! moet je eens kijken welke foto ik nu gevonden heb!
Check out my nice photo album. :D !V
My friend took nice photos of me.you Should see em loL! x p#~ i$V:),Q
Here are my private pictures for you

5．连接指定IRC服务器58.20.109.46,目的端口21888，协议：Tcp，
向该端口发送交互信息连接服务器：
PASS SireEnX ;密码
NICK [00|CHN|XP|873490] ；昵称由本机信息字符序列组成
USER XP-9225 * 0 :SANLEN-50804D50 ；当前主机名
并从服务器接收黑客指令执行。