ANI漏洞：艾妮病毒完整解決方案

近日，一名為ANI漏洞的蠕蟲病毒非常活躍（現已被國家計算機病毒應急處理中心統一命名為「艾妮」）。一時間，媒體爭先報道，很多用戶也紛紛中招，但大家都很困惑，不知道感染了這個病毒后究竟該如何處理？雖然網路上關於這個病毒的文章很多，但大多數都停留在介紹病毒階段，即使涉及到解決方案也只有簡單幾句，對那些感染該病毒的用戶也只是杯水車薪。
　　下面具體介紹下這個「艾妮」（ANI）蠕蟲病毒
　　病毒名：艾妮（別名，麥英、ANI蠕蟲）
　　英文名：MyInfect.af/DlOnlineGames/Trojan-Downloader.Win32.Agent.bky
　　技術分析
　　1、釋放病毒文件到如下路徑：
　　%SYSTEM%\sysload3.exe
　　2、修改註冊表，添加如下鍵值：
　　HKCU\Software\Microsoft\Windows\CurrentVersion\Run
　　"System Boot Check"="C:\ WINDOWS\system32\sysload3.exe"
　　3、起IE進程，注入病毒代碼，連接網路下載大量病毒、木馬程序，當發現病毒新版本時，會下載更新。
　　4、發送郵件傳播自身：
　　主題:你和誰視頻的時候被拍下的？給你笑死了！
　　內容：看你那小樣！我看你是出名了！
　　你看這個地址！你的臉拍的那麼清楚！你變明星了！
　　5、起NOTEPAD進程，便利本地磁碟，網路共享目錄，感染大小在10K---10M之間的.exe文件，感染擴展名為.ASP、.JSP、PHP、HTM、ASPX、HTML的腳本文件，使病毒難以被察覺。
　　6、修改host文件，屏蔽訪問某些網站
　　7、檢測軟碟機，若存在則複製病毒文件到其中文件名為tool.exe，並生成autorun.inf文件，使病毒可以自動運行，以傳播自身。



提示

　　這個應該是病毒編寫的BUG，目前軟碟機已經基本被淘汰了，如果發現以下提示框，您很可能是中了「愛你」病毒。
清除步驟


　　1.因為利用ANI漏洞的木馬和病毒很多，艾妮病毒變種也很多，並且艾妮是個感染型的蠕蟲，會感染破壞EXE程序和網頁格式的文件，首先推薦你使用殺毒軟體查殺。

　　2.手工查殺，首先結束notepad.exe進程和iexplore.exe進程

　　3. 刪除病毒自啟動項：

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

　　"System Boot Check"="%System%\sysbmw.exe"

　　4. 刪除引用的病毒文件：

　　%System%\sysbmw.exe

　　%System%\sys_ini.ini

　　防護措施：

　　1.少去不安全站點，對通過MSN，QQ，以及郵件發來的不明鏈接，不要去點擊

　　2.注意微軟發布該漏洞補丁程序的信息，發布后，請第一時間下載安裝

　　3.升級殺毒軟體，目前金山毒霸已經升級提供了針對ANI漏洞本身和艾妮蠕蟲病毒的免疫程序，可有效阻止上網時被此類病毒感染。

　　附:如何應對ANI漏洞帶來的病毒危機?

　　上周，金山反病毒中心發現部分網站利用Windows動畫游標（ANI）文件漏洞傳播木馬，這些木馬通常以盜號為目的。微軟尚未就此漏洞發布補丁程序，同時，互聯網已經出現利用該漏洞的網頁木馬生成器。

　　不久，首個利用該漏洞傳播的蠕蟲病毒——艾妮（Worm.MyInfect.af）出現，該病毒集熊貓燒香、維金兩大病毒的特點於一身，是一個傳播性與破壞性極強的蠕蟲，不但能瘋狂感染用戶電腦中的.exe文件，還會下載其它木馬和病毒程序，病毒通過區域網傳播可能導致內網大面積癱瘓。更為嚴重的是，利用微軟動畫游標（ANI）漏洞傳播，使得包括在安全性上煞廢苦心的Vista系統也無法倖免，用戶只要瀏覽帶有惡意代碼的Web網頁或電子郵件將立刻感染該病毒。金山反病毒中心針對該漏洞的危險性，已緊急提供免疫程序。據最新統計結果表明，僅1天時間，該免疫器就成功阻止了超過3萬次攻擊事件發生。

　　漏洞表現：

　　訪問帶毒網頁時，會感覺IE窗口顯示有點慢，有時IE窗口會失去響應，部分殺毒軟體會報告發現木馬或病毒。但這種現象可能只會被少數用戶所關注，多數用戶感覺不明顯。
受此漏洞影響的操作系統：

　　Windows 2000

　　Windows XP 32/64

　　Windows 2003 32/64

　　Windows Vista 32/64

　　受此影響的瀏覽器：

　　IE6、IE7、Firefox、Opera

　　受此影響的其它應用軟體：

　　QQ、MSN、電子郵件客戶端、AcdSee、RSS閱讀器

　　清除方法：

　　因為利用該漏洞傳播的木馬、病毒非常多，並且「艾妮」蠕蟲同時會感染可執行程序，手工查殺更加困難。同樣，因為此類病毒較多，金山反病毒中心不會提供針對此漏洞的專殺工具。建議用戶安裝金山毒霸，並立即升級到最新病毒庫，以清除已知利用該漏洞傳播的病毒、木馬程序。企業用戶一旦在內網發現「艾妮」病毒，應立即進行全網查殺。金山毒霸在4月3日的緊急更新中還提供了針對「艾妮」類蠕蟲病毒的免疫功能，可阻止此類蠕蟲病毒通過其它途徑大量傳播。

　　ANI漏洞免疫是如何實現的?


　　ANI漏洞免疫功能：在有害ANI文件下載到本地時立即進行攔截，根本不給IE瀏覽器載入ANI文件的機會，從而避免了利用ANI漏洞的攻擊。

　　艾妮病毒的免疫功能：是毒霸專門為「艾妮」類蠕蟲病毒製作的免疫程序，因為艾妮病毒具備和熊貓燒香類似的傳播特點，啟動毒霸的這個免疫功能后，可以阻止「艾妮」類蠕蟲病毒利用其它途徑大量傳播。

　　防範措施：

　　1.因微軟公司尚未發布針對此漏洞的補丁程序，建議用戶立即安裝殺毒軟體並升級到最新，以降低安全風險。

　　2.金山毒霸單機版、企業版客戶端已經集成針對動畫游標（ANI）漏洞的免疫功能，升級后，即可阻止下載利用該漏洞傳播的木馬、病毒程序。

　　3.目前，該漏洞幾乎影響所有的互聯網瀏覽器，瀏覽不安全的網就會中毒，目前，已經發現有部分大網站也被植入含有動畫游標漏洞的特殊ANI文件。提醒廣大網民朋友，不要輕易點擊通過QQ、MSN、電子郵件等發送的網頁鏈接。

　　4.提醒網頁編輯朋友，立即使用殺毒軟體檢查本地網頁文件，清除因「艾妮」病毒的感染破壞導致網頁中嵌入病毒代碼，防止其它網民上網瀏覽帶毒的網頁而反覆中毒。

　　附錄：

　　北京時間4月4日凌晨，美國時間4月3日，微軟公司如期發布了ANI漏洞補丁。上周末，微軟截獲了利用該漏洞的病毒，黑客可以通過製作特殊的ANI動態游標文件獲取系統控制權。這一嚴重問題導致微軟不得不加快速度提前發布補丁，該補丁原計劃在4月10日左右發布。

　　該漏洞名稱為：GDI漏洞導致遠程執行代碼（925902），影響所有基於NT架構Windows系統，安全級別為高危級，建議所有用戶立即更新。該補丁替代了06年發布的KB912919，微軟本次同時發布了針對7種操作系統的補丁。

　　微軟安全公告頁面（英文）

　　各版本操作系統補丁（KB925902）下載頁面，均不需要正版驗證：

　　Windows XP

　　Windows XP x64

　　Windows Vista

　　Windows Vista x64

　　Windows 2003

　　Windows 2003 x64

　　Windows 2000