國家計算機病毒應(yīng)急處理中心通過對互聯(lián)網(wǎng)的監(jiān)測發(fā)現(xiàn)“艾妮”復(fù)合型病毒。該病毒通過微軟Windows系統(tǒng)ANI（動態(tài)光標(biāo)）文件處理的漏洞、感染正常的可執(zhí)行文件和本地網(wǎng)頁文件、發(fā)送電子郵件、和感染優(yōu)盤及及移動存儲介質(zhì)等途徑進(jìn)行傳播，病毒自我傳播能力很強。并且感染該病毒后，會自動下載運行木馬程序，造成較大危害。

該蠕蟲先后出現(xiàn)很多變種，在出現(xiàn)后的短時期內(nèi)迅速傳播，遭受感染的用戶難于徹底清除，給其工作帶來諸多不便。

蠕蟲情況分析如下：

病毒名稱：Worm_MyInfect.af

中 文 名：“艾妮”

其他名稱：I-Worm/AniLoad（江民）

Worm.MyInfect （金山）

Worm.DlOnlineGames （瑞星）

病毒類型：復(fù)合型

感染系統(tǒng)：Windows 9X/ Windows ME/ Windows NT/ Windows 2000/Windows XP/ Windows 2003/ Windows Vista

病毒特性：

1、生成病毒文件

病毒運行后，復(fù)制自身到下面目錄：%SysDir%sysload3.exe

2、 修改注冊表項

HKCUSoftwareMicrosoftWindowsCurrentVersionRun"System Boot Check"="%SysDir%sysload3.exe"這樣，病毒就可以 隨Windows系統(tǒng)啟動自動運行。

3、感染系統(tǒng)中文件

它能感染本地磁盤和網(wǎng)絡(luò)共享目錄中的可執(zhí)行文件和腳本文件。

1） 感染可執(zhí)行文件

將被感染文件和病毒融合成一個文件(被感染文件貼在病毒文件尾部)完成感染。

2） 腳本類文件

在這些腳本文件尾加上如下 注示 下載該腳本文件，里面含有如下代碼：


以上兩個圖片鏈接利用了ANI漏洞，圖片文件中含有溢出攻擊代碼，因此打開上面的Noindex.js網(wǎng)頁時便會中毒。

4、下載指定網(wǎng)址文件

從指定網(wǎng)址下載木馬程序和病毒升級程序。

5、通過電子郵件傳播

病毒郵件特征如下：

發(fā)件人： i_love_cq@sohu.com

主題：你和誰視頻的時候被拍下的？給你笑死了！

正文：

看你那小樣！我看你是出名了！

你看這個地址！你的臉拍的那么清楚！你變明星了！http://****.microfsot.com/***/134952.htm如果用戶點擊了以上帶有病毒的網(wǎng)頁，就會遭受感染。

6、其它

遍歷a-z的所有驅(qū)動器，如果該驅(qū)動器為“可移動存儲”就在該驅(qū)動器上創(chuàng)建AUTORUN.INF，來達(dá)到傳播自己的目的。檢測軟驅(qū)，若存在則復(fù)制病毒文件到其中文件名為tool.exe，并生成autorun.inf文件，使病毒可以自動運行，以傳播自身。修改hosts文件，屏蔽多個網(wǎng)址。這些網(wǎng)址大多是以前用來傳播其他病毒的站點。

解決方法：

1、對沒有遭受感染的計算機用戶，應(yīng)該盡快安裝微軟公司最新操作系統(tǒng)補?。↘B925902），并及時升級系統(tǒng)中的防病毒軟件，同時打開防病毒軟件的“實時監(jiān)控”功能。

2、對已經(jīng)感染變種的計算機用戶，建議盡快下載專殺工具進(jìn)行查殺修復(fù)工作。并安裝微軟公司最新操作系統(tǒng)補?。↘B925902）。

專殺工具下載鏈接地址：

http://download.jiangmin.info/jmsoft/ANIWormKiller.exe （江民公司）

微軟公司相關(guān)補丁下載地址：

http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx

安全建議：

1、局域網(wǎng)的計算機用戶盡量避免創(chuàng)建可寫的共享目錄，已經(jīng)創(chuàng)建共享目錄的應(yīng)立即停止共享。

2、如無必要，Windows 2000/XP用戶應(yīng)盡量關(guān)閉IPC$共享，并給具有管理員權(quán)限的帳號設(shè)置復(fù)雜的密碼。

3、及時安裝微軟的安全更新，不要隨意訪問來源不明的網(wǎng)站。

4、計算機系統(tǒng)安裝防病毒軟件，并及時升級病毒定義庫。

5、計算機用戶使用U盤等移動設(shè)備交換文件時，務(wù)必開啟殺毒軟件的“實時監(jiān)控”功能，或先用防病毒軟件掃描，并關(guān)閉自動播放功能。

6、用戶應(yīng)慎用操作系統(tǒng)默認(rèn)提供的“自動播放”功能，防止在使用移動存儲介質(zhì)過程中受到感染。用戶可以在超級用戶權(quán)限下按如下方法關(guān)閉該功能：

Windows XP用戶：

“開始”－＞“運行”－＞輸入“gdedit.msc”確定后打開“組策略”；

依次打開：“計算機配置”－＞“管理模板”－＞單擊“系統(tǒng)”項；

在右邊設(shè)置中有一項“關(guān)閉自動播放”，雙擊打開其屬性；

選擇“己啟用”在屬性框中選中所有驅(qū)動器，點擊“確定”；

同理再打開： “用戶配制”－＞“管理模板”－＞單擊“系統(tǒng)”項；

在右邊設(shè)置中有一項“關(guān)閉自動播放”，雙擊打開屬性；

選擇“己啟用”在屬性框中選中所有驅(qū)動器，點擊“確定”；

即可關(guān)閉自動播放。

注：Windows 2000用戶打開“組策略”方法是，“開始”－＞“運行”－＞

輸入“mmc”－＞單擊確定，打開控制臺，選擇“控制臺”菜單中“添加/刪除管理單元”，單擊“添加”，選擇“組策略”－＞添加；

最新評論