[ 电脑急救中心 ]-[注意]大家小心艾尼[网院部落]

周六朋友说电脑中病毒了把文件考到我的硬盘上,要全格我就拿着去了,结果回来我的电脑费了

艾妮作者换了个地址，仍在继续更新其变种，这次的变种更新时间是20号凌晨。希望大家对longge8.com这个域名进行屏蔽。新的变种与13号我们报道的艾妮（麦英）变种类似，也是由一个释放器释放出艾妮变种的主程序，我们暂时将这个释放器命名为艾妮释放器。艾妮释放器，大小12,288字节，MD5值为3e7d75826bb5138339d34fc88b5ed7c8。释放主程序到以下目录，并运行 %Program Files%\\Common Files\\Microsoft Shared\\Web Folders\\MSOSVEXT.EXE （大小7,680 字节，UPX加壳，MD5值为18c7c569509c2b7bb2c785bd33d21cc0，Kaspersky检测为Trojan-Downloader.Win32.Small.enp）运行后，会生成 %Program Files%\\Common Files\\Microsoft Shared\\Web Folders\\MSOSV.EXE（艾妮释放器副本） %WINDOWS%\\svchost.exe（记事本程序，用此程序进行感染文件的操作） %WINDOWS%\\debug.txt 然后创建一个名为Hello Ketty (TCP/IP Service)的服务： HKLM\\System\\CurrentControlSet\\Services\\Hello Ketty "DisplayName" = "TCP/IP Service" "ImagePath" = "%Program Files%\\Common Files\\Microsoft Shared\\Web Folders\\MSOSV.EXE" 从以下地址下载一个配置文件，保存到%Program Files%\\Common Files\\Microsoft Shared\\Web Folders\\shift.ini http://<removed>.longge8.com/table.gif table.gif是个加密文档，和以往一样，用来下载一群木马，木马会保存为类似Temp*.exe（*代表大写字母）。同时还会修改hosts文件，创建Hello Download和Hello Dolly的Mutex。 Update 17:50 第一次更新：毒霸：Worm.MyInfect.as Kaspersky将艾妮释放器命名为Trojan-Downloader.Win32.Small.enp 中了这个病毒之后，被感染exe文件基本上不能用了，要清除此病毒只有强行删除那些被感染的文件。很郁闷。总之大家小心点就是了。

大部分杀毒软件专杀都不好使
反病毒专家介绍，“光标漏洞”蠕虫自我传播能力很强。与“熊猫烧香”和威金蠕虫类似，该蠕虫会感染正常的可执行文件和本地网页文件，下载大量木马程序。除此之外，该蠕虫还能够利用自带的SMTP引擎通过电子邮件传播。最令人担心的是，目前病毒利用的微软ANI文件处理漏洞尚无官方补丁，江民反病毒专家担心一场比“熊猫烧香”更可怕的疫情可能会随时发生。 3月30日，江民反病毒中心发布紧急安全警报，一些恶意网站正在通过Windows操作系统一个新的安全漏洞（ANI漏洞）传播木马病毒。Windows在处理动态图标文件时存在严重隐患，利用此漏洞，黑客可以通过制作特殊的ANI文件进行远程攻击。可能的攻击方式包括编写恶意网页或发送恶意电子邮件，用户一旦浏览即可执行黑客指定的任意代码。微软公司于当地时间3月29日确认了这个新漏洞并开始调查工作。目前没有针对该漏洞的补丁程序。在报告发布后的第二天，利用该漏洞的蠕虫病毒“光标漏洞”（I-Worm/MyInfect）即出现在互联网上。江民反病毒专家分析，“光标漏洞”蠕虫的大小为13K左右，病毒运行后，会复制自身到下面目录：%SysDir%\\sysload3.exe 并添加注册表键值： HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run "System Boot Check"="%SysDir%\\sysload3.exe" 这样，病毒就可以随Windows系统启动自动运行。病毒会感染本地磁盘和网络共享目录的正常可执行程序。并感染本地磁盘和网络共享目录的多种类型（.HTML .ASPX .HTM .PHP .JSP .ASP）网页文件，植入利用ANI文件处理漏洞的恶意代码。 “光标漏洞”病毒除了具备“熊猫烧香”所有的传播特征外，还可以通过电子邮件传播，病毒邮件特征如下：发件人： i_love_cq@sohu.com 主题：你和谁视频的时候被拍下的？给你笑死了！正文：看你那小样！我看你是出名了！你看这个地址！你的脸拍的那么清楚！你变明星了！ http://macr.microfsot.com/<removed>/134952.htm 病毒还会复制自身到各逻辑磁盘盘根目录下，并创建autorun.inf自动播放配置文件。双击盘符即可激活病毒，造成再次感染。这点与“熊猫烧香”通过U盘激活自身从而“死灰复燃”的特征如出一辙。 “光标漏洞”还会修改系统hosts文件，屏蔽多个网址。这些网址大多是以前用来传播其他病毒的站点。

挑战全世界:ANI蠕虫作者发誓今年买宝马