蠕蟲(chóng)“艾妮”情況分析和解決方案
國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心通過(guò)對(duì)互聯(lián)網(wǎng)的監(jiān)測(cè)發(fā)現(xiàn)“艾妮”復(fù)合型病毒。該病毒通過(guò)微軟Windows系統(tǒng)ANI(動(dòng)態(tài)光標(biāo))文件處理的漏洞、感染正常的可執(zhí)行文件和本地網(wǎng)頁(yè)文件、發(fā)送電子郵件、和感染優(yōu)盤(pán)及及移動(dòng)存儲(chǔ)介質(zhì)等途徑進(jìn)行傳播,病毒自我傳播能力很強(qiáng)。并且感染該病毒后,會(huì)自動(dòng)下載運(yùn)行木馬程序,造成較大危害。
該蠕蟲(chóng)先后出現(xiàn)很多變種,在出現(xiàn)后的短時(shí)期內(nèi)迅速傳播,遭受感染的用戶難于徹底清除,給其工作帶來(lái)諸多不便。
蠕蟲(chóng)情況分析如下:
病毒名稱:Worm_MyInfect.af
中 文 名:“艾妮”
其他名稱:I-Worm/AniLoad(江民)
Worm.MyInfect (金山)
Worm.DlOnlineGames (瑞星)
病毒類型:復(fù)合型
感染系統(tǒng):Windows 9X/ Windows ME/ Windows NT/ Windows 2000/Windows XP/ Windows 2003/ Windows Vista
病毒特性:
1、生成病毒文件
病毒運(yùn)行后,復(fù)制自身到下面目錄:%SysDir%sysload3.exe
2、 修改注冊(cè)表項(xiàng)
HKCUSoftwareMicrosoftWindowsCurrentVersionRun"System Boot Check"="%SysDir%sysload3.exe"這樣,病毒就可以 隨Windows系統(tǒng)啟動(dòng)自動(dòng)運(yùn)行。
3、感染系統(tǒng)中文件
它能感染本地磁盤(pán)和網(wǎng)絡(luò)共享目錄中的可執(zhí)行文件和腳本文件。
1) 感染可執(zhí)行文件
將被感染文件和病毒融合成一個(gè)文件(被感染文件貼在病毒文件尾部)完成感染。
2) 腳本類文件
在這些腳本文件尾加上如下 注示 下載該腳本文件,里面含有如下代碼:
以上兩個(gè)圖片鏈接利用了ANI漏洞,圖片文件中含有溢出攻擊代碼,因此打開(kāi)上面的Noindex.js網(wǎng)頁(yè)時(shí)便會(huì)中毒。
4、下載指定網(wǎng)址文件
從指定網(wǎng)址下載木馬程序和病毒升級(jí)程序。
5、通過(guò)電子郵件傳播
病毒郵件特征如下:
發(fā)件人: i_love_cq@sohu.com
主題:你和誰(shuí)視頻的時(shí)候被拍下的?給你笑死了!
正文:
看你那小樣!我看你是出名了!
你看這個(gè)地址!你的臉拍的那么清楚!你變明星了!http://****.microfsot.com/***/134952.htm如果用戶點(diǎn)擊了以上帶有病毒的網(wǎng)頁(yè),就會(huì)遭受感染。
6、其它
遍歷a-z的所有驅(qū)動(dòng)器,如果該驅(qū)動(dòng)器為“可移動(dòng)存儲(chǔ)”就在該驅(qū)動(dòng)器上創(chuàng)建AUTORUN.INF,來(lái)達(dá)到傳播自己的目的。檢測(cè)軟驅(qū),若存在則復(fù)制病毒文件到其中文件名為tool.exe,并生成autorun.inf文件,使病毒可以自動(dòng)運(yùn)行,以傳播自身。修改hosts文件,屏蔽多個(gè)網(wǎng)址。這些網(wǎng)址大多是以前用來(lái)傳播其他病毒的站點(diǎn)。
解決方法:
1、對(duì)沒(méi)有遭受感染的計(jì)算機(jī)用戶,應(yīng)該盡快安裝微軟公司最新操作系統(tǒng)補(bǔ)丁(KB925902),并及時(shí)升級(jí)系統(tǒng)中的防病毒軟件,同時(shí)打開(kāi)防病毒軟件的“實(shí)時(shí)監(jiān)控”功能。
2、對(duì)已經(jīng)感染變種的計(jì)算機(jī)用戶,建議盡快下載專殺工具進(jìn)行查殺修復(fù)工作。并安裝微軟公司最新操作系統(tǒng)補(bǔ)?。↘B925902)。
專殺工具下載鏈接地址:
http://download.jiangmin.info/jmsoft/ANIWormKiller.exe (江民公司)
微軟公司相關(guān)補(bǔ)丁下載地址:
http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx
安全建議:
1、局域網(wǎng)的計(jì)算機(jī)用戶盡量避免創(chuàng)建可寫(xiě)的共享目錄,已經(jīng)創(chuàng)建共享目錄的應(yīng)立即停止共享。
2、如無(wú)必要,Windows 2000/XP用戶應(yīng)盡量關(guān)閉IPC$共享,并給具有管理員權(quán)限的帳號(hào)設(shè)置復(fù)雜的密碼。
3、及時(shí)安裝微軟的安全更新,不要隨意訪問(wèn)來(lái)源不明的網(wǎng)站。
4、計(jì)算機(jī)系統(tǒng)安裝防病毒軟件,并及時(shí)升級(jí)病毒定義庫(kù)。
5、計(jì)算機(jī)用戶使用U盤(pán)等移動(dòng)設(shè)備交換文件時(shí),務(wù)必開(kāi)啟殺毒軟件的“實(shí)時(shí)監(jiān)控”功能,或先用防病毒軟件掃描,并關(guān)閉自動(dòng)播放功能。
6、用戶應(yīng)慎用操作系統(tǒng)默認(rèn)提供的“自動(dòng)播放”功能,防止在使用移動(dòng)存儲(chǔ)介質(zhì)過(guò)程中受到感染。用戶可以在超級(jí)用戶權(quán)限下按如下方法關(guān)閉該功能:
Windows XP用戶:
“開(kāi)始”->“運(yùn)行”->輸入“gdedit.msc”確定后打開(kāi)“組策略”;
依次打開(kāi):“計(jì)算機(jī)配置”->“管理模板”->單擊“系統(tǒng)”項(xiàng);
在右邊設(shè)置中有一項(xiàng)“關(guān)閉自動(dòng)播放”,雙擊打開(kāi)其屬性;
選擇“己?jiǎn)⒂?rdquo;在屬性框中選中所有驅(qū)動(dòng)器,點(diǎn)擊“確定”;
同理再打開(kāi): “用戶配制”->“管理模板”->單擊“系統(tǒng)”項(xiàng);
在右邊設(shè)置中有一項(xiàng)“關(guān)閉自動(dòng)播放”,雙擊打開(kāi)屬性;
選擇“己?jiǎn)⒂?rdquo;在屬性框中選中所有驅(qū)動(dòng)器,點(diǎn)擊“確定”;
即可關(guān)閉自動(dòng)播放。
注:Windows 2000用戶打開(kāi)“組策略”方法是,“開(kāi)始”->“運(yùn)行”->
輸入“mmc”->單擊確定,打開(kāi)控制臺(tái),選擇“控制臺(tái)”菜單中“添加/刪除管理單元”,單擊“添加”,選擇“組策略”->添加;
相關(guān)文章
關(guān)于諾頓頻繁查殺DWH*.TMP病毒的問(wèn)題分析
此問(wèn)題困擾偶N久了,每次一開(kāi)機(jī),都會(huì)提示在凌晨5點(diǎn)左右在TEMP目錄中殺出一批DWH*.TMP病毒來(lái),今天一開(kāi)機(jī),諾頓實(shí)時(shí)監(jiān)控就一直不停地往外跳,決定要好好地收拾他一下了.2007-12-12login.exe HGFS木馬下載器的手動(dòng)查殺方法
這是一個(gè)具有感染腳本功能和局域網(wǎng)傳播功能的木馬下載器2008-05-051Sy.exe 2Sy.exe logo1_.exe禁止病毒的運(yùn)行小技巧
1Sy.exe 2Sy.exe logo1_.exe禁止病毒的運(yùn)行小技巧...2007-01-01上周方法病毒來(lái)源竟然為ad.pchome.net原來(lái)被掛馬
公司的服務(wù)器遭受arp攻擊,所掛的代碼總,竟然是ad.pchome.net的網(wǎng)站2008-01-01Auto Autorun.inf desktop.ini sxs.exe auto.exe類病毒的手動(dòng)處理完全技巧
Auto Autorun.inf desktop.ini sxs.exe auto.exe類病毒的手動(dòng)處理完全技巧...2007-11-11諾頓防病毒軟件 Norton Antivirus v2007+KeyGen下載
諾頓防病毒軟件 Norton Antivirus v2007+KeyGen下載...2007-03-03