艾妮病毒的完整解决方案

近日，一名为ani漏洞的蠕虫病毒非常活跃（现已被国家计算机病毒应急处理中心统一命名为“艾妮”）。一时间，媒体争先报道，很多用户也纷纷中招，但大家都很困惑，不知道感染了这个病毒后究竟该如何处理？虽然网络上关于这个病毒的文章很多，但大多数都停留在介绍病毒阶段，即使涉及到解决方案也只有简单几句，对那些感染该病毒的用户也只是杯水车薪。

　　金山毒霸反病毒工程师李铁军在自己的博客里详细地介绍了该病毒的预防及解决方案，希望能够对已经感染该病毒的用户有所帮助！

　　下面具体介绍下这个“艾妮”（ani）蠕虫病毒

　　病毒名：艾妮（别名，麦英、ani蠕虫）

　　英文名：myinfect.af/dlonlinegames/trojan-downloader.win32.agent.bky

　　技术分析

　　1、释放病毒文件到如下路径：

　　%system%/sysload3.exe

　　2、修改注册表，添加如下键值：

　　hkcu/software/microsoft/windows/currentversion/run

　　"system boot check"="c:/windows/system32/sysload3.exe"

　　3、起ie进程，注入病毒代码，连接网络下载大量病毒、木马程序，当发现病毒新版本时，会下载更新。

　　4、发送邮件传播自身：

　　主题:你和谁视频的时候被拍下的？给你笑死了！

　　内容：看你那小样！我看你是出名了！

　　你看这个地址！你的脸拍的那么清楚！你变明星了！

　　5、起notepad进程，便利本地磁盘，网络共享目录，感染大小在10k---10m之间的.exe文件，感染扩展名为.asp、.jsp、php、htm、aspx、html的脚本文件，使病毒难以被察觉。

　　6、修改host文件，屏蔽访问某些网站

　　7、检测软驱，若存在则复制病毒文件到其中文件名为tool.exe，并生成autorun.inf文件，使病毒可以自动运行，以传播自身。

 

　　这个应该是病毒编写的bug，目前软驱已经基本被淘汰了，如果发现以下提示框，您很可能是中了“爱你”病毒。清除步骤

 

　　1.因为利用ani漏洞的木马和病毒很多，艾妮病毒变种也很多，并且艾妮是个感染型的蠕虫，会感染破坏exe程序和网页格式的文件，首先推荐你使用杀毒软件查杀。

　　2.手工查杀，首先结束notepad.exe进程和iexplore.exe进程

　　3. 删除病毒自启动项：

　　[hkey_current_user/software/microsoft/windows/currentversion/run]

　　"system boot check"="%system%/sysbmw.exe"

　　4. 删除引用的病毒文件：

　　%system%/sysbmw.exe

　　%system%/sys_ini.ini

　　防护措施：

　　1.少去不安全站点，对通过msn，qq，以及邮件发来的不明链接，不要去点击

　　2.注意微软发布该漏洞补丁程序的信息，发布后，请第一时间下载安装

　　3.升级杀毒软件，目前金山毒霸已经升级提供了针对ani漏洞本身和艾妮蠕虫病毒的免疫程序，可有效阻止上网时被此类病毒感染。

　　附:如何应对ani漏洞带来的病毒危机?

　　上周，金山反病毒中心发现部分网站利用windows动画光标（ani）文件漏洞传播木马，这些木马通常以盗号为目的。微软尚未就此漏洞发布补丁程序，同时，互联网已经出现利用该漏洞的网页木马生成器。

　　不久，首个利用该漏洞传播的蠕虫病毒——艾妮（worm.myinfect.af）出现，该病毒集熊猫烧香、维金两大病毒的特点于一身，是一个传播性与破坏性极强的蠕虫，不但能疯狂感染用户电脑中的.exe文件，还会下载其它木马和病毒程序，病毒通过局域网传播可能导致内网大面积瘫痪。更为严重的是，利用微软动画光标（ani）漏洞传播，使得包括在安全性上煞废苦心的vista系统也无法幸免，用户只要浏览带有恶意代码的web网页或电子邮件将立刻感染该病毒。金山反病毒中心针对该漏洞的危险性，已紧急提供免疫程序。据最新统计结果表明，仅1天时间，该免疫器就成功阻止了超过3万次攻击事件发生。

　　漏洞表现：

　　访问带毒网页时，会感觉ie窗口显示有点慢，有时ie窗口会失去响应，部分杀毒软件会报告发现木马或病毒。但这种现象可能只会被少数用户所关注，多数用户感觉不明显。

　　受此漏洞影响的操作系统：

　　windows 2000

　　windows xp 32/64

　　windows 2003 32/64

　　windows vista 32/64

　　受此影响的浏览器：

　　ie6、ie7、firefox、opera

　　受此影响的其它应用软件：

　　qq、msn、电子邮件客户端、acdsee、rss阅读器

　　清除方法：

　　因为利用该漏洞传播的木马、病毒非常多，并且“艾妮”蠕虫同时会感染可执行程序，手工查杀更加困难。同样，因为此类病毒较多，金山反病毒中心不会提供针对此漏洞的专杀工具。建议用户安装金山毒霸，并立即升级到最新病毒库，以清除已知利用该漏洞传播的病毒、木马程序。企业用户一旦在内网发现“艾妮”病毒，应立即进行全网查杀。金山毒霸在4月3日的紧急更新中还提供了针对“艾妮”类蠕虫病毒的免疫功能，可阻止此类蠕虫病毒通过其它途径大量传播。 　该漏洞名称为：gdi漏洞导致远程执行代码（925902），影响所有基于nt架构windows系统，安全级别为高危级，建议所有用户立即更新。该补丁替代了06年发布的kb912919，微软本次同时发布了针对7种操作系统的补丁。

http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx

　　各版本操作系统补丁（kb925902）下载页面，均不需要正版验证：

　　windows xp

　　windows xp x64

　　windows vista

　　windows vista x64

　　windows 2003

　　windows 2003 x64

　　windows 2000