(CNET科技資訊網(wǎng))近日,一名為ANI漏洞的蠕蟲(chóng)病毒非常活躍(現(xiàn)已被國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心統(tǒng)一命名為'艾妮')。一時(shí)間,媒體爭(zhēng)先報(bào)道,很多用戶(hù)也紛紛中招,但大家都很困惑,不知道感染了這個(gè)病毒后究竟該如何處理?
雖然網(wǎng)絡(luò)上關(guān)于這個(gè)病毒的文章很多,但大多數(shù)都停留在介紹病毒階段,即使涉及解決方案也只有簡(jiǎn)單幾句,對(duì)那些感染該病毒的用戶(hù)也只是杯水車(chē)薪。
金山毒霸反病毒工程師李鐵軍在自己的博客里詳細(xì)地介紹了該病毒的預(yù)防及解決方案,希望能夠?qū)σ呀?jīng)感染該病毒的用戶(hù)有所幫助!
下面具體介紹下這個(gè)'艾妮'(ANI)蠕蟲(chóng)病毒
病毒名:艾妮(別名,麥英、ANI蠕蟲(chóng))
英文名:MyInfect.af/DlOnlineGames/Trojan-Downloader.Win32.Agent.bky
技術(shù)分析
1、釋放病毒文件到如下路徑:
%SYSTEM%sysload3.exe
2、修改注冊(cè)表,添加如下鍵值:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
'System Boot Check'='C:WINDOWSsystem32sysload3.exe'
3、起IE進(jìn)程,注入病毒代碼,連接網(wǎng)絡(luò)下載大量病毒、木馬程序,當(dāng)發(fā)現(xiàn)病毒新版本時(shí),會(huì)下載更新。
4、發(fā)送郵件傳播自身:
主題:你和誰(shuí)視頻的時(shí)候被拍下的?給你笑死了!
內(nèi)容:看你那小樣!我看你是出名了!
你看這個(gè)地址!你的臉拍的那么清楚!你變明星了!
5、起NOTEPAD進(jìn)程,便利本地磁盤(pán),網(wǎng)絡(luò)共享目錄,感染大小在10K---10M之間的.exe文件,感染擴(kuò)展名為.ASP、.JSP、PHP、HTM、ASPX、HTML的腳本文件,使病毒難以被察覺(jué)。
6、修改host文件,屏蔽訪(fǎng)問(wèn)某些網(wǎng)站
7、檢測(cè)軟驅(qū),若存在則復(fù)制病毒文件到其中文件名為tool.exe,并生成autorun.inf文件,使病毒可以自動(dòng)運(yùn)行,以傳播自身。
這個(gè)應(yīng)該是病毒編寫(xiě)的BUG,目前軟驅(qū)已經(jīng)基本被淘汰了,如果發(fā)現(xiàn)以下提示框,您很可能是中了'愛(ài)你'病毒。
清除步驟
1.因?yàn)槔肁NI漏洞的木馬和病毒很多,艾妮病毒變種也很多,并且艾妮是個(gè)感染型的蠕蟲(chóng),會(huì)感染破壞EXE程序和網(wǎng)頁(yè)格式的文件,首先推薦你使用殺毒軟件查殺。
2.手工查殺,首先結(jié)束notepad.exe進(jìn)程和iexplore.exe進(jìn)程
3. 刪除病毒自啟動(dòng)項(xiàng):
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
'System Boot Check'='%System%sysbmw.exe'
4. 刪除引用的病毒文件:
%System%sysbmw.exe
%System%sys_ini.ini
防護(hù)措施:
1.少去不安全站點(diǎn),對(duì)通過(guò)MSN,QQ,以及郵件發(fā)來(lái)的不明鏈接,不要去點(diǎn)擊
2.注意微軟發(fā)布該漏洞補(bǔ)丁程序的信息,發(fā)布后,請(qǐng)第一時(shí)間下載安裝
3.升級(jí)殺毒軟件,目前金山毒霸已經(jīng)升級(jí)提供了針對(duì)ANI漏洞本身和艾妮蠕蟲(chóng)病毒的免疫程序,可有效阻止上網(wǎng)時(shí)被此類(lèi)病毒感染。
附:如何應(yīng)對(duì)ANI漏洞帶來(lái)的病毒危機(jī)?
上周,金山反病毒中心發(fā)現(xiàn)部分網(wǎng)站利用Windows動(dòng)畫(huà)光標(biāo)(ANI)文件漏洞傳播木馬,這些木馬通常以盜號(hào)為目的。微軟尚未就此漏洞發(fā)布補(bǔ)丁程序,同時(shí),互聯(lián)網(wǎng)已經(jīng)出現(xiàn)利用該漏洞的網(wǎng)頁(yè)木馬生成器。
不久,首個(gè)利用該漏洞傳播的蠕蟲(chóng)病毒--艾妮(Worm.MyInfect.af)出現(xiàn),該病毒集熊貓燒香、維金兩大病毒的特點(diǎn)于一身,是一個(gè)傳播性與破壞性極強(qiáng)的蠕蟲(chóng),不但能瘋狂感染用戶(hù)電腦中的.exe文件,還會(huì)下載其它木馬和病毒程序,病毒通過(guò)局域網(wǎng)傳播可能導(dǎo)致內(nèi)網(wǎng)大面積癱瘓。
更為嚴(yán)重的是,利用微軟動(dòng)畫(huà)光標(biāo)(ANI)漏洞傳播,使得包括在安全性上煞廢苦心的Vista系統(tǒng)也無(wú)法幸免,用戶(hù)只要瀏覽帶有惡意代碼的Web網(wǎng)頁(yè)或電子郵件將立刻感染該病毒。金山反病毒中心針對(duì)該漏洞的危險(xiǎn)性,已緊急提供免疫程序。據(jù)最新統(tǒng)計(jì)結(jié)果表明,僅1天時(shí)間,該免疫器就成功阻止了超過(guò)3萬(wàn)次攻擊事件發(fā)生。
漏洞表現(xiàn):
訪(fǎng)問(wèn)帶毒網(wǎng)頁(yè)時(shí),會(huì)感覺(jué)IE窗口顯示有點(diǎn)慢,有時(shí)IE窗口會(huì)失去響應(yīng),部分殺毒軟件會(huì)報(bào)告發(fā)現(xiàn)木馬或病毒。但這種現(xiàn)象可能只會(huì)被少數(shù)用戶(hù)所關(guān)注,多數(shù)用戶(hù)感覺(jué)不明顯。
受此漏洞影響的操作系統(tǒng):
Windows 2000
Windows XP 32/64
Windows 2003 32/6
Windows Vista 32/64
受此影響的瀏覽器:
IE6、IE7、Firefox、Opera
受此影響的其它應(yīng)用軟件:
QQ、MSN、電子郵件客戶(hù)端、AcdSee、RSS閱讀器
清除方法:
因?yàn)槔迷撀┒磦鞑サ哪抉R、病毒非常多,并且'艾妮'蠕蟲(chóng)同時(shí)會(huì)感染可執(zhí)行程序,手工查殺更加困難。同樣,因?yàn)榇祟?lèi)病毒較多,金山反病毒中心不會(huì)提供針對(duì)此漏洞的專(zhuān)殺工具。建議用戶(hù)安裝金山毒霸,并立即升級(jí)到最新病毒庫(kù),以清除已知利用該漏洞傳播的病毒、木馬程序。
企業(yè)用戶(hù)一旦在內(nèi)網(wǎng)發(fā)現(xiàn)'艾妮'病毒,應(yīng)立即進(jìn)行全網(wǎng)查殺。金山毒霸在4月3日的緊急更新中還提供了針對(duì)'艾妮'類(lèi)蠕蟲(chóng)病毒的免疫功能,可阻止此類(lèi)蠕蟲(chóng)病毒通過(guò)其它途徑大量傳播。
ANI漏洞免疫是如何實(shí)現(xiàn)的?
ANI漏洞免疫功能:在有害ANI文件下載到本地時(shí)立即進(jìn)行攔截,根本不給IE瀏覽器加載ANI文件的機(jī)會(huì),從而避免了利用ANI漏洞的攻擊。
艾妮病毒的免疫功能:是毒霸專(zhuān)門(mén)為'艾妮'類(lèi)蠕蟲(chóng)病毒制作的免疫程序,因?yàn)榘莶《揪邆浜托茇垷泐?lèi)似的傳播特點(diǎn),啟動(dòng)毒霸的這個(gè)免疫功能后,可以阻止'艾妮'類(lèi)蠕蟲(chóng)病毒利用其它途徑大量傳播。
防范措施:
1.建議用戶(hù)立即安裝殺毒軟件并升級(jí)到最新,以降低安全風(fēng)險(xiǎn)。
2.金山毒霸單機(jī)版、企業(yè)版客戶(hù)端已經(jīng)集成針對(duì)動(dòng)畫(huà)光標(biāo)(ANI)漏洞的免疫功能,升級(jí)后,即可阻止下載利用該漏洞傳播的木馬、病毒程序。
3.目前,該漏洞幾乎影響所有的互聯(lián)網(wǎng)瀏覽器,瀏覽不安全的網(wǎng)就會(huì)中毒,目前,已經(jīng)發(fā)現(xiàn)有部分大網(wǎng)站也被植入含有動(dòng)畫(huà)光標(biāo)漏洞的特殊ANI文件。提醒廣大網(wǎng)民朋友,不要輕易點(diǎn)擊通過(guò)QQ、MSN、電子郵件等發(fā)送的網(wǎng)頁(yè)鏈接。
4.提醒網(wǎng)頁(yè)編輯朋友,立即使用殺毒軟件檢查本地網(wǎng)頁(yè)文件,清除因'艾妮'病毒的感染破壞導(dǎo)致網(wǎng)頁(yè)中嵌入病毒代碼,防止其它網(wǎng)民上網(wǎng)瀏覽帶毒的網(wǎng)頁(yè)而反復(fù)中毒。
