“艾妮”（ANI）病毒解决方案

近日，一名为ANI漏洞的蠕虫病毒非常活跃（现已被国家计算机病毒应急处理中心统一命名为艾妮）。一时间，媒体争先报道，很多用户也纷纷中招，但大家都很困惑，不知道感染了这个病毒后究竟该如何处理？虽然网络上关于这个病毒的文章很多，但大多数都停留在介绍病毒阶段，即使涉及到解决方案也只有简单几句，对那些感染该病毒的用户也只是杯水车薪。  ' n* \8 D7 P+ E, ~0 T' p

9 o; `+ P1 w4 K8 D$ R 金山毒霸反病毒工程师李铁军在自己的博客里详细地介绍了该病毒的预防及解决方案，希望能够对已经感染该病毒的用户有所帮助！  . @! X4 i" ?. \- ~4 s3 A7 |* Z

9 W' x& o$ j( F, v: Q+ h4 Q. [! U- A 下面具体介绍下这个艾妮（ANI）蠕虫病毒  " P2 Y% l  x4 F: ^0 O' G' _

9 b3 W4 T" m, c4 |; Z8 s 病毒名：艾妮（别名，麦英、ANI蠕虫）  
9 r: f& \! i' A3 L! R0 [& f! I! W% J( t* t
英文名：MyInfect.af/DlOnlineGames/Trojan-Downloader.Win32.Agent.bky  
6 W$ ^' {  h  d6 r* `% D9 R
3 F  x1 |: v# v9 q5 B& \技术分析  
* L6 G9 p/ z/ l& e
! i/ z2 W# q- a! u" V* i; N( X' x; w1、释放病毒文件到如下路径：  ; w/ D9 y4 }) f' Y
- G8 p5 {+ O/ P
%SYSTEM%\sysload3.exe  
/ Z4 m6 G2 X& r$ W' _) Y& ^  h4 m% ^8 i% k
2、修改注册表，添加如下键值：  * A* s  [& v* }8 s: @4 z. p& j2 C
' n4 S0 |+ ?! B
HKCU\Software\Microsoft\Windows\CurrentVersion\Run  
* _; M* W2 W5 `/ E+ N1 K4 u' C* G! O/ t
System Boot Check=C:\WINDOWS\system32\sysload3.exe  
6 d- Z  r( E/ ]7 e# T+ W4 f& {0 B
, l) _- J8 R; X2 v' V3、起IE进程，注入病毒代码，连接网络下载大量病毒、木马程序，当发现病毒新版本时，会下载更新。  
  ?! E/ K& ^% v6 h8 B/ k
/ f& ?- K9 T( i8 k/ H2 N4、发送邮件传播自身：  : ]3 W' l; ~, @) R1 w- R0 q

& k/ Q5 p( k) Q4 u' V主题:你和谁视频的时候被拍下的？给你笑死了！  $ F" S5 s4 f; u0 V  J+ R

8 o7 }4 }6 s# B% H  z6 L& }内容：看你那小样！我看你是出名了！  " V7 Q& {, Z3 P: C: T% f

- N0 M# Z. o: j你看这个地址！你的脸拍的那么清楚！你变明星了！  " W7 _8 U, W  o6 P* ]" d# Y
; L/ A1 z% n5 G- n6 l& m+ V4 O  }
5、起NOTEPAD进程，便利本地磁盘，网络共享目录，感染大小在10K---10M之间的.exe文件，感染扩展名为.ASP、.JSP、PHP、HTM、ASPX、HTML的脚本文件，使病毒难以被察觉。  
( h1 T3 ]0 r( Q3 D- _) ^; s0 t" W/ i% N
6、修改host文件，屏蔽访问某些网站  
7 d5 b% _  T& u/ u: S3 m$ U) M- M2 l5 p
7、检测软驱，若存在则复制病毒文件到其中文件名为tool.exe，并生成autorun.inf文件，使病毒可以自动运行，以传播自身。  9 ^8 i3 i) Z! x! U# l) ?

- P! P7 Y$ D9 V这个应该是病毒编写的BUG，目前软驱已经基本被淘汰了，如果发现以下提示框，您很可能是中了爱你病毒。  . u( c" j  D% K( F# ]3 b

% X) I9 \& Z7 a  d0 _6 U清除步骤  
+ L9 D# x6 I$ H# [9 r0 i: i
& F2 r. n2 c: q& d1.因为利用ANI漏洞的木马和病毒很多，艾妮病毒变种也很多，并且艾妮是个感染型的蠕虫，会感染破坏EXE程序和网页格式的文件，首先推荐你使用杀毒软件查杀。  . ]+ v2 q& Z! _4 O: f4 ^, u
/ G5 ?0 A0 v$ O3 d" s
2.手工查杀，首先结束notepad.exe进程和iexplore.exe进程  " x2 b- W9 O* p. z
" |& Z' w! b) [$ G6 |
3. 删除病毒自启动项：  5 X% v  W* i  M% a- n0 F
2 P. x( O+ u4 t& Q( K7 Z% Q. C% G
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]  
- E+ a7 B1 n. M" [! S( f1 T5 I/ a4 T( {2 G2 d# l
System Boot Check=%System%\sysbmw.exe  
7 r; N) A; G$ b6 p! U3 r( P4 R* ^* {4 I/ {! L
4. 删除引用的病毒文件：  
9 }* m9 ]' |$ ]1 g9 D* i) S& o. u+ X- O& }. [
%System%\sysbmw.exe  
( [  [/ J) u; C# {' y  g* A) q
; n7 l# h7 E2 C. n6 l. S7 r, K%System%\sys_ini.ini  5 H4 M% @$ |  ^* S# `4 w

: W- a- F! i, ?7 f! O  l5 x7 Y: ]防护措施：  2 @3 M- f1 V- O" P

& q5 _; w8 e# n3 R8 ~+ T3 P4 U1.少去不安全站点，对通过MSN，QQ，以及邮件发来的不明链接，不要去点击  
& K, C. H# A: ?& \+ S1 N
8 d4 r* G# ^' E/ e# e2.注意微软发布该漏洞补丁程序的信息，发布后，请第一时间下载安装  : P- m) {& A$ E" V
1 j+ c% `0 \: i# M+ ~/ C6 u* w9 S5 z
3.升级杀毒软件，目前金山毒霸已经升级提供了针对ANI漏洞本身和艾妮蠕虫病毒的免疫程序，可有效阻止上网时被此类病毒感染。  
/ {6 _" W1 Z- s' R: T' p# f- v# H0 a) ?6 V
附:如何应对ANI漏洞带来的病毒危机?  , j! w/ \( F( \! r% f" i! _& e
( U4 \3 L+ N' t: h0 \3 U
上周，金山反病毒中心发现部分网站利用Windows动画光标（ANI）文件漏洞传播木马，这些木马通常以盗号为目的。微软尚未就此漏洞发布补丁程序，同时，互联网已经出现利用该漏洞的网页木马生成器。  + D$ m9 t& T1 C1 R( H
6 F1 \" h3 c% \" ~, ^! f
不久，首个利用该漏洞传播的蠕虫病毒艾妮（Worm.MyInfect.af）出现，该病毒集熊猫烧香、维金两大病毒的特点于一身，是一个传播性与破坏性极强的蠕虫，不但能疯狂感染用户电脑中的.exe文件，还会下载其它木马和病毒程序，病毒通过局域网传播可能导致内网大面积瘫痪。更为严重的是，利用微软动画光标（ANI）漏洞传播，使得包括在安全性上煞废苦心的Vista系统也无法幸免，用户只要浏览带有恶意代码的Web网页或电子邮件将立刻感染该病毒。金山反病毒中心针对该漏洞的危险性，已紧急提供免疫程序。据最新统计结果表明，仅1天时间，该免疫器就成功阻止了超过3万次攻击事件发生。  & V- r7 L9 w+ G

9 l7 Z$ }: z6 r漏洞表现：  
- m, R& ?0 n5 ^1 T
" Y. w, f) R( p 访问带毒网页时，会感觉IE窗口显示有点慢，有时IE窗口会失去响应，部分杀毒软件会报告发现木马或病毒。但这种现象可能只会被少数用户所关注，多数用户感觉不明显。  
3 i( T( ]" q' Q) f$ |$ ^4 N! M$ w) N- q# z
受此漏洞影响的操作系统：  5 V7 g& \9 C3 X# M$ O7 O
7 N6 |# l6 d2 A. \) H
Windows 2000  
* \0 o) `0 k/ q6 [; }# B- {8 \; D$ N4 P
Windows XP 32/64  8 |8 S4 v) V% u# r# T3 K" w7 _+ c

) I5 c& n. T, i6 x$ v0 {2 aWindows 2003 32/64  
3 v( Y. I$ a# {- w0 h1 q1 X8 C: [' J1 {1 X0 q+ J: M" Z3 n
Windows Vista 32/64  5 \# R, R1 ?6 \) \; o
( x5 B) ~8 E- ^
受此影响的浏览器：  
( a: T' a6 _4 W8 }/ ]( j. I! A9 r7 p. }% @' R' e8 Q. S2 G
IE6、IE7、Firefox、Opera  ) P) r8 O9 }1 T
+ g' C8 Z3 P% \2 A& q1 U, s; L
受此影响的其它应用软件：  
' U" H9 F1 G( k6 c  H- \* ~; _2 a9 n
QQ、MSN、电子邮件客户端、AcdSee、RSS阅读器  
9 c- ~- |- `  i  j! f/ x( g+ R, g$ C& K+ k* b1 }" n
清除方法：  
" L6 U& F; K2 b2 A( M2 s% Z0 g( u2 o; c' N$ z3 G' S
因为利用该漏洞传播的木马、病毒非常多，并且艾妮蠕虫同时会感染可执行程序，手工查杀更加困难。同样，因为此类病毒较多，金山反病毒中心不会提供针对此漏洞的专杀工具。建议用户安装金山毒霸，并立即升级到最新病毒库，以清除已知利用该漏洞传播的病毒、木马程序。企业用户一旦在内网发现艾妮病毒，应立即进行全网查杀。金山毒霸在4月3日的紧急更新中还提供了针对艾妮类蠕虫病毒的免疫功能，可阻止此类蠕虫病毒通过其它途径大量传播。  
% t9 s& i# {4 [, D9 P8 |) O' R" H
6 S; S! Q3 A, R; @! _ANI漏洞免疫是如何实现的?  
2 E; M- V! J2 [0 u) r$ M) G
# \1 E# l. }6 o* r: k6 [; L4 y# v ANI漏洞免疫功能：在有害ANI文件下载到本地时立即进行拦截，根本不给IE浏览器加载ANI文件的机会，从而避免了利用ANI漏洞的攻击。  0 D# ~8 D5 b1 ~
# q* R  _; W6 w# z
艾妮病毒的免疫功能：是毒霸专门为艾妮类蠕虫病毒制作的免疫程序，因为艾妮病毒具备和熊猫烧香类似的传播特点，启动毒霸的这个免疫功能后，可以阻止艾妮类蠕虫病毒利用其它途径大量传播。  9 B5 Q; h7 ~1 O5 v' r7 l
7 s' J; I) H4 e" s9 l
防范措施：  2 T0 H# J1 N0 ~6 c) Y4 x$ n" k  E
- H1 X4 ~$ u2 p* r  i
1.因微软公司尚未发布针对此漏洞的补丁程序，建议用户立即安装杀毒软件并升级到最新，以降低安全风险。  , B" B6 A) c4 _+ |
$ ?* P  V9 t9 H! J
2.金山毒霸单机版、企业版客户端已经集成针对动画光标（ANI）漏洞的免疫功能，升级后，即可阻止下载利用该漏洞传播的木马、病毒程序。  
, {- `8 Y0 B* W: P+ _- K) I4 p- p0 B( l7 S" n- W0 ]; \8 y
3.目前，该漏洞几乎影响所有的互联网浏览器，浏览不安全的网就会中毒，目前，已经发现有部分大网站也被植入含有动画光标漏洞的特殊ANI文件。提醒广大网民朋友，不要轻易点击通过QQ、MSN、电子邮件等发送的网页链接。  6 {- c7 V& q; W1 \+ K8 L/ u
& R& {0 R2 s+ [3 \! n" K: L
4.提醒网页编辑朋友，立即使用杀毒软件检查本地网页文件，清除因艾妮病毒的感染破坏导致网页中嵌入病毒代码，防止其它网民上网浏览带毒的网页而反复中毒。