关于近日来新发现的ANI漏洞,随之而来的就是相应的漏洞型病毒的危害。在日前的文章中本人作了病毒警报提示,有读者反映需要此漏洞病毒的详细资料和防范方法。本人查阅资料后,总结了一下内容,希望对大家防范此类病毒有所帮助。
一、病毒分析:
病毒名:艾妮(ANI蠕虫)
英文名:MyInfect.af/DlOnlineGames/Trojan-Downloader.Win32.Agent.bky
病毒特征:
1、释放病毒文件到如下路径:%SYSTEM%\sysload3.exe
2、修改注册表,添加如下键值:HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"System Boot Check"="C:\WINDOWS\system32\sysload3.exe"
3、起IE进程,注入病毒代码,连接网络下载大量病毒、木马程序,当发现病毒新版本时,会下载更新。
4、邮件形式传播:邮件年主题:你和谁视频的时候被拍下的?给你笑死了!邮件内容:看你那小样!我看你是出名了!你看这个地址!你的脸拍的那么清楚!你变明星了!
5、起NOTEPAD进程,便利本地磁盘,网络共享目录,感染大小在10K---10M之间的.exe文件,感染扩展名为.ASP、.JSP、PHP、HTM、ASPX、HTML的脚本文件,使病毒难以被察觉。
6、修改host文件,屏蔽访问某些网站
7、检测软驱,若存在则复制病毒文件到其中文件名为tool.exe,并生成autorun.inf文件,使病毒可以自动运行,以传播自身。
二、清除步骤:
1、因为利用ANI漏洞的木马和病毒很多,艾妮病毒变种也很多,并且艾妮是个感染型的蠕虫,会感染破坏EXE程序和网页格式的文件,首先推荐你使用杀毒软件查杀。
2、手工查杀,首先结束notepad.exe进程和iexplore.exe进程
3、删除病毒自启动项:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"System Boot Check"="%System%\sysbmw.exe"
4、删除引用的病毒文件:
%System%\sysbmw.exe
%System%\sys_ini.ini
三、连带影响范围:
1、受影响的操作系统:Windows 2000;Windows XP 32/64位;Windows 2003 32/64位;Windows Vista 32/64位
2、受影响的浏览器:IE6、IE7、Firefox、Opera
3、受影响的其它应用软件:QQ、MSN、电子邮件客户端(OUTLOOK、FOXMAIL等)、AcdSee、RSS阅读器
四、防范措施:
1、少去不安全站点,对通过MSN,QQ,以及邮件发来的不明链接,不要去点击
2、注意微软发布该漏洞补丁程序的信息,发布后,请第一时间下载安装
3、因微软尚未发布针对此漏洞的补丁程序,建议用户立即安装杀毒软件并升级到最新,以降低安全风险。
4、目前,该漏洞几乎影响所有的互联网浏览器,浏览不安全的网就会中毒,目前,已经发现有部分大网站也被植入含有动画光标漏洞的特殊ANI文件。提醒广大网民朋友,不要轻易点击通过QQ、MSN、电子邮件等发送的网页链接。
5、提醒网页编辑朋友,立即使用杀毒软件检查本地网页文件,清除因“艾妮”病毒的感染破坏导致网页中嵌入病毒代码,防止其它网民上网浏览带毒的网页而反复中毒。
