ANI蠕虫相关知识

微软的操作系统是目前使用人数最多的,如果大范围出现问题,那么后果不堪设想,可是就在今年的3月31日,全球的Windows用户都面临来自系统漏洞的威胁,而且涉及的产品包含了现在所有主流版本的Windows。

ANI蠕虫病毒闪电袭击
  3月31日,广东的张先生在上网时,浏览器突然提示要下载一名为“你绝对想不到”的图片文件,他认为图片文件一般不会有什么问题,结果打开后却发现什么也没有。这时电脑突然顿了一下,网速也下降很严重,似乎有什么东西在占用着网络。
  当天晚上,他在登录QQ时就提示密码错误。他感觉不妙,准备用杀毒软件检查一下电脑,却发现鼠标竟然自己动了,还在翻找着自己的文件。这时他才发现已经有人入侵了他的电脑。
  在3月31日,有同张先生一样遭遇的网民不计其数。这些受害的网民都有一个共同点,他们都使用Windows2000以上的操作系统。怎么回事呢?原来,微软多个操作系统被曝存在一处严重的漏洞,并已被多个高危病毒利用,开始在全球范围传播,遭殃的系统还包括号称安全性极强的Vista。
  说起这次ANI漏洞袭击可以用闪电速度来形容,其实早在去年12月微软就已在NT内核平台中发现处理鼠标动态指针图形文件(.ANI)时存在漏洞,但当时并未公开。3月末该漏洞被曝光,就在漏洞被曝光的第2天,网上就出现了利用此漏洞传播的蠕虫,当天全球即出现了100多个利用ANI漏洞发起攻击的网站,各大安全厂纷纷发布病毒警告,而很快地,国内就发现了此类蠕虫。
病毒疯狂繁衍
  仅仅2天时间ANI蠕虫就已在国内大范围繁衍各类变种,国内三大安全厂商均截获了大量利用ANI漏洞传播的各类蠕虫和木马病毒,并各自采取了相应的紧急措施。
  为什么此次ANI蠕虫传播速度会如此之快?正是恶意ANI文件制作相对容易,且能轻易打开系统入口,国内才有大批利用此漏洞的恶性病毒出现,甚至出现了恶意ANI文件生成器。
  有安全厂商仅1天时间就截获了5个新变种。短短数日,超过13个利用此漏洞的病毒相继出现。目前已有20多个网站被攻陷,并被挂ANI蠕虫企图窃取QQ及网游账户,甚至偷窥用户隐私。
  一些已被控制住的恶性病毒也利用此漏洞衍生最新变种,企图死灰复燃,例如现在已经出现了“威金”的ANI版变种。如果这种情况不加以控制,极有可能大规模爆发病毒,危害甚至超过刚熄灭不久的“熊猫烧香”。
  目前,各大安全厂商均严阵以待,密切关注新病毒爆发的迹象,例如国内著名安全厂商瑞星就已将当前病毒疫情调至橙色危险级别,这也是今年发布的第一个橙色危险警报。
  或许使用Firefox、Opera等第三方浏览器的用户正暗自庆幸可以躲过网页中嵌入的恶意ANI蠕虫,然而事实是,他们并不能阻止这些畸形ANI文件的运行。同时,QQ用户注意不要轻易接收好友发来的不明图片文件,因为已经发现此病毒可利用捆绑技术将自身嵌入图片传播。
资料:ANI漏洞
  Windows系统在处理畸形的动画图标文件(.ani)时存在缓冲区溢出漏洞,远程攻击者可能利用此漏洞控制用户机器。这个漏洞主要是Windows在处理畸形文件(.ani)时没有正确地验证ANI文件头中所指定的大小,导致栈溢出漏洞。
  如果用户使用IE浏览器访问了恶意站点或打开了恶意的邮件消息,就会触发这个溢出,导致执行任意的危险代码,恶意程序将被自动下载到用户的IE临时目录并得到执行。
  由于此漏洞造成病毒大幅增加,微软已经提前发布了原定于本月10号发布的安全补丁,其他版本的用户可访问微软网站自行下载,并将通过法律手段,在全球范围缉拿恶意制造ANI病毒的犯罪分子。
ANI蠕虫“麦英”啃噬系统
  此次ANI漏洞受害者中,绝大多数是中了ANI蠕虫“麦英”以及它的变种,如果不小心感染了“麦英”病毒,则很难将它彻底消灭。同时,短短几天时间,“麦英”的变种已经发展到13个之多。安全形势不容乐观!
“麦英”病毒特征
  “麦英”病毒是一种极具破坏力的蠕虫病毒,它利用微软动画光标ANI漏洞,通过电子邮件和恶意网站等进行传播。该漏洞影响包括Vista在内的Windows 所有主流版本。
  “麦英”病毒可感染本地磁盘、闪存、共享目录以及大小在10KB~10MB之间的所有EXE文件,被感染后电脑运行速度极慢,还可导致企业局域网大面积瘫痪。病毒向外大量发送电子邮件,邮件主题为“你和谁视频的时候被拍下的?给你笑死了!”其中附件即为病毒体。
  另外,“麦英”病毒还可以感染扩展名为ASP、JSP、PHP、HTM、ASPX、HTML的脚本文件,病毒采用线程注入等技术所以很难被彻底清除。
如何清除病毒
  关闭所有不用的程序,断开网络连接(包括局域网连接)。按“Ctrl+Alt+Del”键打开任务管理器,查找有没有IE进程(IEXPLORE.EXE)、记事本程序进程(NOTEPAD.EXE),以及sysload3.exe文件进程,如果有,把它们全部结束(图1)。
  在注册表编辑器中依次展开HKEY_CURR ENT_USER\Software\Microsoft\Windows\CurrentVersion\Run主键,删除下面的“System Boot Check”=“C:\WINDOW S\system32\sysload3.exe”键值(图2)。

  注意:以上操作步骤先后顺序不能错,因为许多EXE文件被感染了,所以不要运行其他EXE可执行文件,以免病毒被再次激活。激活病毒后,会重新向注册表中写入启动项。
  重启电脑到安全模式下,使用更新了最新病毒库的杀毒软件对硬盘进行全面查毒,清除所有被感染的文件,因为被感染的EXE文件数量庞大,这是最高效的处理方法。
黑客大肆利用ANI漏洞
  微软操作系统曝出重大漏洞,Windows 2000以上的所有系统受到影响,这也给微软号称安全性超强的Vista当头一棒。在微软还没有发布漏洞补丁的时候,黑客大肆攻击所有Windows用户,网络安全受到极大影响。要防御就必须知道对方如何进攻,现在我们就看看黑客是如何利用漏洞攻击系统的。
系统就这样被攻陷
  运行ANI漏洞的利用程序,只要在网页木马地址中输入木马服务端程序的网页地址即可,然后点击“生成+智能”按钮即可漏洞利用文件(图3)。该漏洞利用程序还增加了一个智能判断系统,可以入侵安装有全部补丁的Windows XP系统,同时根据不同的系统使用不同的漏洞,从而提高网页木马的命中率。
  不只ANI这种格式的光标文件可以被利用,其他格式的光标文件同样可以。我们看到漏洞利用工具一共生成了6个文件,其中有一个名为0day的JPG图片文件,这就是生成的ANI漏洞的利用文件(图4)。将这6个文件同时上传到自己的网络空间中,然后将网页木马通过即时通讯软件、电子邮件等方式发布出去。
  这是一个全新的系统漏洞,所以很快就可以看到上线的肉鸡。

堵住ANI漏洞
  目前微软已经发布了针对ANI漏洞的补丁,广大用户应该立即下载并安装补丁(Windows XP用户下载:http://down load.microsoft.com/download/5/8/3/58324bce-00c5-42b7-bd05-1353c0604dab/WindowsXP-KB925902-x86-CHS.exe,其他版本的用户可访问微软网站自行下载)。针对暂时还无法安装微软补丁的用户,我们推荐大家先使用一些临时解决方法来进行防范。

  1. 安装第三方的安全组织eEye提供的第三方补丁进行修补(下载地址:http://dl.360safe.com/AniPatch.rar)。注意:安装该补丁需要关闭防火墙以及杀毒软件,否则将导致系统崩溃。
  2. 利用纯文本格式读取邮件信息,如果使用Vista系统,则禁用Vista系统的预览栏。
  3. 关闭自动运行功能,我们可以利用超级兔子或者Windows优化大师来关闭。
  4. 在Windows资源管理器“工具→文件夹选项→任务”中选择“使用Windows传统风格的文件夹”。
  5. 开启网络防火墙,限制可疑程序访问网络的权限,禁止陌生程序发送电子邮件功能。

零度电脑_基础知识_最新消息