国家计算机病毒应急处理中心通过对互联网的监测发现“艾妮”复合型病毒。该病毒通过微软Windows系统ANI(动态光标)文件处理的漏洞、感染正常的可执行文件和本地网页文件、发送电子邮件、和感染优盘及及移动存储介质等途径进行传播,病毒自我传播能力很强。并且感染该病毒后,会自动下载运行木马程序,造成较大危害。
该蠕虫先后出现很多变种,在出现后的短时期内迅速传播,遭受感染的用户难于彻底清除,给其工作带来诸多不便。
蠕虫情况分析如下:
病毒名称:Worm_MyInfect.af
中 文 名:“艾妮”
其他名称:I-Worm/AniLoad(江民)
Worm.MyInfect (金山)
Worm.DlOnlineGames (瑞星)
病毒类型:复合型
感染系统:Windows 9X/ Windows ME/ Windows NT/ Windows 2000/
Windows XP/ Windows 2003/ Windows Vista
病毒特性:
1、生成病毒文件
病毒运行后,复制自身到下面目录:%SysDir%\sysload3.exe
2、 修改注册表项
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"System Boot Check"="%SysDir%\sysload3.exe"这样,病毒就可以 随Windows系统启动自动运行。
3、感染系统中文件
它能感染本地磁盘和网络共享目录中的可执行文件和脚本文件。
1) 感染可执行文件
将被感染文件和病毒融合成一个文件(被感染文件贴在病毒文件尾部)完成感
染。
2) 脚本类文件
在这些脚本文件尾加上如下注示
下载该脚本文件,里面含有如下代码:
4、下载指定网址文件
从指定网址下载木马程序和病毒升级程序。
5、通过电子邮件传播
病毒邮件特征如下:
发件人: i_love_cq@sohu.com
主题:你和谁视频的时候被拍下的?给你笑死了!
正文:
看你那小样!我看你是出名了!
你看这个地址!你的脸拍的那么清楚!你变明星了!
http://****.microfsot.com/***/134952.htm
如果用户点击了以上带有病毒的网页,就会遭受感染。
6、其它
遍历a-z的所有驱动器,如果该驱动器为“可移动存储”就在该驱动器上创
建AUTORUN.INF,来达到传播自己的目的。检测软驱,若存在则复制病毒文
件到其中文件名为tool.exe,并生成autorun.inf文件,使病毒可以自动运
行,以传播自身。
修改hosts文件,屏蔽多个网址。这些网址大多是以前用来传播其他病毒的
站点。
解决方法:
1、对没有遭受感染的计算机用户,应该尽快安装微软公司最新操作系统补
丁(KB925902),并及时升级系统中的防病毒软件,同时打开防病毒软件的
“实时监控”功能。
2、对已经感染变种的计算机用户,建议尽快下载专杀工具进行查杀修复工
作。并安装微软公司最新操作系统补丁(KB925902)。
专杀工具下载链接地址:
http://download.jiangmin.info/jmsoft/ANIWormKiller.exe (江民公司)
微软公司相关补丁下载地址:
http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx
安全建议:
1、局域网的计算机用户尽量避免创建可写的共享目录,已经创建共享目录
的应立即停止共享。
2、如无必要,Windows 2000/XP用户应尽量关闭IPC$共享,并给具有管理员 权限的帐号设置复杂的密码。
3、及时安装微软的安全更新,不要随意访问来源不明的网站。
4、计算机系统安装防病毒软件,并及时升级病毒定义库。
5、计算机用户使用U盘等移动设备交换文件时,务必开启杀毒软件的“实时
监控”功能,或先用防病毒软件扫描,并关闭自动播放功能。
6、用户应慎用操作系统默认提供的“自动播放”功能,防止在使用移动存
储介质过程中受到感染。用户可以在超级用户权限下按如下方法关闭该功能:
Windows XP用户:
“开始”->“运行”->输入“gdedit.msc”确定后打开“组策略”;
依次打开:“计算机配置”->“管理模板”->单击“系统”项;
在右边设置中有一项“关闭自动播放”,双击打开其属性;
选择“己启用”在属性框中选中所有驱动器,点击“确定”;
同理再打开: “用户配制”->“管理模板”->单击“系统”项;
在右边设置中有一项“关闭自动播放”,双击打开属性;
选择“己启用”在属性框中选中所有驱动器,点击“确定”;
即可关闭自动播放。
注:Windows 2000用户打开“组策略”方法是,“开始”->“运行”->
输入“mmc”->单击确定,打开控制台,选择“控制台”菜单中“添加/删
除管理单元”,单击“添加”,选择“组策略”->添加;