ANI蠕虫相关知识

微软的操作系统是目前使用人数最多的，如果大范围出现问题，那么后果不堪设想，可是就在今年的3月31日，全球的Windows用户都面临来自系统漏洞的威胁，而且涉及的产品包含了现在所有主流版本的Windows。

ANI蠕虫病毒闪电袭击

　　3月31日，广东的张先生在上网时，浏览器突然提示要下载一名为“你绝对想不到”的图片文件，他认为图片文件一般不会有什么问题，结果打开后却发现什么也没有。这时电脑突然顿了一下，网速也下降很严重，似乎有什么东西在占用着网络。

　　当天晚上，他在登录QQ时就提示密码错误。他感觉不妙，准备用杀毒软件检查一下电脑，却发现鼠标竟然自己动了，还在翻找着自己的文件。这时他才发现已经有人入侵了他的电脑。

　　在3月31日，有同张先生一样遭遇的网民不计其数。这些受害的网民都有一个共同点，他们都使用Windows2000以上的操作系统。怎么回事呢？原来，微软多个操作系统被曝存在一处严重的漏洞，并已被多个高危病毒利用，开始在全球范围传播，遭殃的系统还包括号称安全性极强的Vista。

　　说起这次ANI漏洞袭击可以用闪电速度来形容，其实早在去年12月微软就已在NT内核平台中发现处理鼠标动态指针图形文件(.ANI)时存在漏洞，但当时并未公开。3月末该漏洞被曝光，就在漏洞被曝光的第2天，网上就出现了利用此漏洞传播的蠕虫，当天全球即出现了100多个利用ANI漏洞发起攻击的网站，各大安全厂纷纷发布病毒警告，而很快地，国内就发现了此类蠕虫。

病毒疯狂繁衍

　　仅仅2天时间ANI蠕虫就已在国内大范围繁衍各类变种，国内三大安全厂商均截获了大量利用ANI漏洞传播的各类蠕虫和木马病毒，并各自采取了相应的紧急措施。

　　为什么此次ANI蠕虫传播速度会如此之快？正是恶意ANI文件制作相对容易，且能轻易打开系统入口，国内才有大批利用此漏洞的恶性病毒出现，甚至出现了恶意ANI文件生成器。

　　有安全厂商仅1天时间就截获了5个新变种。短短数日，超过13个利用此漏洞的病毒相继出现。目前已有20多个网站被攻陷，并被挂ANI蠕虫企图窃取QQ及网游账户，甚至偷窥用户隐私。

　　一些已被控制住的恶性病毒也利用此漏洞衍生最新变种，企图死灰复燃，例如现在已经出现了“威金”的ANI版变种。如果这种情况不加以控制，极有可能大规模爆发病毒，危害甚至超过刚熄灭不久的“熊猫烧香”。

　　目前，各大安全厂商均严阵以待，密切关注新病毒爆发的迹象，例如国内著名安全厂商瑞星就已将当前病毒疫情调至橙色危险级别，这也是今年发布的第一个橙色危险警报。

　　或许使用Firefox、Opera等第三方浏览器的用户正暗自庆幸可以躲过网页中嵌入的恶意ANI蠕虫，然而事实是，他们并不能阻止这些畸形ANI文件的运行。同时，QQ用户注意不要轻易接收好友发来的不明图片文件，因为已经发现此病毒可利用捆绑技术将自身嵌入图片传播。

资料：ANI漏洞

　　Windows系统在处理畸形的动画图标文件（.ani）时存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户机器。这个漏洞主要是Windows在处理畸形文件（.ani）时没有正确地验证ANI文件头中所指定的大小，导致栈溢出漏洞。

　　如果用户使用IE浏览器访问了恶意站点或打开了恶意的邮件消息，就会触发这个溢出，导致执行任意的危险代码，恶意程序将被自动下载到用户的IE临时目录并得到执行。

　　由于此漏洞造成病毒大幅增加，微软已经提前发布了原定于本月10号发布的安全补丁，其他版本的用户可访问微软网站自行下载，并将通过法律手段，在全球范围缉拿恶意制造ANI病毒的犯罪分子。

ANI蠕虫“麦英”啃噬系统

　　此次ANI漏洞受害者中，绝大多数是中了ANI蠕虫“麦英”以及它的变种，如果不小心感染了“麦英”病毒，则很难将它彻底消灭。同时，短短几天时间，“麦英”的变种已经发展到13个之多。安全形势不容乐观！

“麦英”病毒特征

　　“麦英”病毒是一种极具破坏力的蠕虫病毒，它利用微软动画光标ANI漏洞，通过电子邮件和恶意网站等进行传播。该漏洞影响包括Vista在内的Windows 所有主流版本。

　　“麦英”病毒可感染本地磁盘、闪存、共享目录以及大小在10KB~10MB之间的所有EXE文件，被感染后电脑运行速度极慢，还可导致企业局域网大面积瘫痪。病毒向外大量发送电子邮件，邮件主题为“你和谁视频的时候被拍下的？给你笑死了！”其中附件即为病毒体。

　　另外，“麦英”病毒还可以感染扩展名为ASP、JSP、PHP、HTM、ASPX、HTML的脚本文件，病毒采用线程注入等技术所以很难被彻底清除。

如何清除病毒

　　关闭所有不用的程序，断开网络连接（包括局域网连接）。按“Ctrl+Alt+Del”键打开任务管理器，查找有没有IE进程（IEXPLORE.EXE）、记事本程序进程（NOTEPAD.EXE），以及sysload3.exe文件进程，如果有，把它们全部结束。

　　在注册表编辑器中依次展开HKEY_CURR ENT_USER\Software\Microsoft\Windows\CurrentVersion\Run主键，删除下面的“System Boot Check”=“C:\WINDOW S\system32\sysload3.exe”键值。

　　注意：以上操作步骤先后顺序不能错，因为许多EXE文件被感染了，所以不要运行其他EXE可执行文件，以免病毒被再次激活。激活病毒后，会重新向注册表中写入启动项。

　　重启电脑到安全模式下，使用更新了最新病毒库的杀毒软件对硬盘进行全面查毒，清除所有被感染的文件，因为被感染的EXE文件数量庞大，这是最高效的处理方法。

黑客大肆利用ANI漏洞

　　微软操作系统曝出重大漏洞，Windows 2000以上的所有系统受到影响，这也给微软号称安全性超强的Vista当头一棒。在微软还没有发布漏洞补丁的时候，黑客大肆攻击所有Windows用户，网络安全受到极大影响。要防御就必须知道对方如何进攻，现在我们就看看黑客是如何利用漏洞攻击系统的。

系统就这样被攻陷

　　运行ANI漏洞的利用程序，只要在网页木马地址中输入木马服务端程序的网页地址即可，然后点击“生成＋智能”按钮即可漏洞利用文件。该漏洞利用程序还增加了一个智能判断系统，可以入侵安装有全部补丁的Windows XP系统，同时根据不同的系统使用不同的漏洞，从而提高网页木马的命中率。

　　不只ANI这种格式的光标文件可以被利用，其他格式的光标文件同样可以。我们看到漏洞利用工具一共生成了6个文件，其中有一个名为0day的JPG图片文件，这就是生成的ANI漏洞的利用文件。将这6个文件同时上传到自己的网络空间中，然后将网页木马通过即时通讯软件、电子邮件等方式发布出去。

　　这是一个全新的系统漏洞，所以很快就可以看到上线的肉鸡。

堵住ANI漏洞

　　目前微软已经发布了针对ANI漏洞的补丁，广大用户应该立即下载并安装补丁（Windows XP用户下载：http://down load.microsoft.com/download/5/8/3/58324bce-00c5-42b7-bd05-1353c0604dab/WindowsXP-KB925902-x86-CHS.exe，其他版本的用户可访问微软网站自行下载）。针对暂时还无法安装微软补丁的用户，我们推荐大家先使用一些临时解决方法来进行防范。

　　1. 安装第三方的安全组织eEye提供的第三方补丁进行修补. 。注意：安装该补丁需要关闭防火墙以及杀毒软件，否则将导致系统崩溃。

　　2. 利用纯文本格式读取邮件信息，如果使用Vista系统，则禁用Vista系统的预览栏。

　　3. 关闭自动运行功能，我们可以利用超级兔子或者Windows优化大师来关闭。

　　4. 在Windows资源管理器“工具→文件夹选项→任务”中选择“使用Windows传统风格的文件夹”。

　　5. 开启网络防火墙，限制可疑程序访问网络的权限，禁止陌生程序发送电子邮件功能。

id: 276290435
title: ANI蠕虫相关知识
publishTime: 1214137857987
classId: 88735822
moveForm: NONE