國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心通過(guò)對(duì)互聯(lián)網(wǎng)的監(jiān)測(cè)發(fā)現(xiàn)“艾妮”復(fù)合型病毒。該病毒通過(guò)微軟Windows系統(tǒng)ANI（動(dòng)態(tài)光標(biāo)）文件處理的漏洞、感染正常的可執(zhí)行文件和本地網(wǎng)頁(yè)文件、發(fā)送電子郵件、和感染優(yōu)盤(pán)及及移動(dòng)存儲(chǔ)介質(zhì)等途徑進(jìn)行傳播，病毒自我傳播能力很強(qiáng)。并且感染該病毒后，會(huì)自動(dòng)下載運(yùn)行木馬程序，造成較大危害。

該蠕蟲(chóng)先后出現(xiàn)很多變種，在出現(xiàn)后的短時(shí)期內(nèi)迅速傳播，遭受感染的用戶難于徹底清除，給其工作帶來(lái)諸多不便。

蠕蟲(chóng)情況分析如下：

病毒名稱：Worm_MyInfect.af

中 文 名：“艾妮”

其他名稱：I-Worm/AniLoad（江民）

Worm.MyInfect （金山）

Worm.DlOnlineGames （瑞星）

病毒類型：復(fù)合型

感染系統(tǒng)：Windows 9X/ Windows ME/ Windows NT/ Windows 2000/Windows XP/ Windows 2003/ Windows Vista

病毒特性：

1、生成病毒文件

病毒運(yùn)行后，復(fù)制自身到下面目錄：%SysDir%sysload3.exe

2、 修改注冊(cè)表項(xiàng)

HKCUSoftwareMicrosoftWindowsCurrentVersionRun"System Boot Check"="%SysDir%sysload3.exe"這樣，病毒就可以 隨Windows系統(tǒng)啟動(dòng)自動(dòng)運(yùn)行。

3、感染系統(tǒng)中文件

它能感染本地磁盤(pán)和網(wǎng)絡(luò)共享目錄中的可執(zhí)行文件和腳本文件。

1） 感染可執(zhí)行文件

將被感染文件和病毒融合成一個(gè)文件(被感染文件貼在病毒文件尾部)完成感染。

2） 腳本類文件

在這些腳本文件尾加上如下 注示 下載該腳本文件，里面含有如下代碼：


以上兩個(gè)圖片鏈接利用了ANI漏洞，圖片文件中含有溢出攻擊代碼，因此打開(kāi)上面的Noindex.js網(wǎng)頁(yè)時(shí)便會(huì)中毒。

4、下載指定網(wǎng)址文件

從指定網(wǎng)址下載木馬程序和病毒升級(jí)程序。

5、通過(guò)電子郵件傳播

病毒郵件特征如下：

發(fā)件人： i_love_cq@sohu.com

主題：你和誰(shuí)視頻的時(shí)候被拍下的？給你笑死了！

正文：

看你那小樣！我看你是出名了！

你看這個(gè)地址！你的臉拍的那么清楚！你變明星了！http://****.microfsot.com/***/134952.htm如果用戶點(diǎn)擊了以上帶有病毒的網(wǎng)頁(yè)，就會(huì)遭受感染。

6、其它

遍歷a-z的所有驅(qū)動(dòng)器，如果該驅(qū)動(dòng)器為“可移動(dòng)存儲(chǔ)”就在該驅(qū)動(dòng)器上創(chuàng)建AUTORUN.INF，來(lái)達(dá)到傳播自己的目的。檢測(cè)軟驅(qū)，若存在則復(fù)制病毒文件到其中文件名為tool.exe，并生成autorun.inf文件，使病毒可以自動(dòng)運(yùn)行，以傳播自身。修改hosts文件，屏蔽多個(gè)網(wǎng)址。這些網(wǎng)址大多是以前用來(lái)傳播其他病毒的站點(diǎn)。

解決方法：

1、對(duì)沒(méi)有遭受感染的計(jì)算機(jī)用戶，應(yīng)該盡快安裝微軟公司最新操作系統(tǒng)補(bǔ)丁（KB925902），并及時(shí)升級(jí)系統(tǒng)中的防病毒軟件，同時(shí)打開(kāi)防病毒軟件的“實(shí)時(shí)監(jiān)控”功能。

2、對(duì)已經(jīng)感染變種的計(jì)算機(jī)用戶，建議盡快下載專殺工具進(jìn)行查殺修復(fù)工作。并安裝微軟公司最新操作系統(tǒng)補(bǔ)?。↘B925902）。

專殺工具下載鏈接地址：

http://download.jiangmin.info/jmsoft/ANIWormKiller.exe （江民公司）

微軟公司相關(guān)補(bǔ)丁下載地址：

http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx

安全建議：

1、局域網(wǎng)的計(jì)算機(jī)用戶盡量避免創(chuàng)建可寫(xiě)的共享目錄，已經(jīng)創(chuàng)建共享目錄的應(yīng)立即停止共享。

2、如無(wú)必要，Windows 2000/XP用戶應(yīng)盡量關(guān)閉IPC$共享，并給具有管理員權(quán)限的帳號(hào)設(shè)置復(fù)雜的密碼。

3、及時(shí)安裝微軟的安全更新，不要隨意訪問(wèn)來(lái)源不明的網(wǎng)站。

4、計(jì)算機(jī)系統(tǒng)安裝防病毒軟件，并及時(shí)升級(jí)病毒定義庫(kù)。

5、計(jì)算機(jī)用戶使用U盤(pán)等移動(dòng)設(shè)備交換文件時(shí)，務(wù)必開(kāi)啟殺毒軟件的“實(shí)時(shí)監(jiān)控”功能，或先用防病毒軟件掃描，并關(guān)閉自動(dòng)播放功能。

6、用戶應(yīng)慎用操作系統(tǒng)默認(rèn)提供的“自動(dòng)播放”功能，防止在使用移動(dòng)存儲(chǔ)介質(zhì)過(guò)程中受到感染。用戶可以在超級(jí)用戶權(quán)限下按如下方法關(guān)閉該功能：

Windows XP用戶：

“開(kāi)始”－＞“運(yùn)行”－＞輸入“gdedit.msc”確定后打開(kāi)“組策略”；

依次打開(kāi)：“計(jì)算機(jī)配置”－＞“管理模板”－＞單擊“系統(tǒng)”項(xiàng)；

在右邊設(shè)置中有一項(xiàng)“關(guān)閉自動(dòng)播放”，雙擊打開(kāi)其屬性；

選擇“己?jiǎn)⒂?rdquo;在屬性框中選中所有驅(qū)動(dòng)器，點(diǎn)擊“確定”；

同理再打開(kāi)： “用戶配制”－＞“管理模板”－＞單擊“系統(tǒng)”項(xiàng)；

在右邊設(shè)置中有一項(xiàng)“關(guān)閉自動(dòng)播放”，雙擊打開(kāi)屬性；

選擇“己?jiǎn)⒂?rdquo;在屬性框中選中所有驅(qū)動(dòng)器，點(diǎn)擊“確定”；

即可關(guān)閉自動(dòng)播放。

注：Windows 2000用戶打開(kāi)“組策略”方法是，“開(kāi)始”－＞“運(yùn)行”－＞

輸入“mmc”－＞單擊確定，打開(kāi)控制臺(tái)，選擇“控制臺(tái)”菜單中“添加/刪除管理單元”，單擊“添加”，選擇“組策略”－＞添加；

最新評(píng)論