标题：[注意]大家小心艾尼

1楼

zhuhai1111 发表于：2007/7/3 10:35:03

周六朋友说电脑中病毒了把文件考到我的硬盘上,要全格我就拿着去了,结果回来我的电脑费了

整了3天还没整好.大家要注意

这个病毒类似熊猫烧香和威金病毒.好列害啊

我身受其害

近期请大家注意Trojan-Downloader.Win32.Small.enp艾妮变种病毒

艾妮作者换了个地址，仍在继续更新其变种，这次的变种更新时间是20号凌晨。希望大家对longge8.com这个域名进行屏蔽。新的变种与13号我们报道的艾妮（麦英）变种类似，也是由一个释放器释放出艾妮变种的主程序，我们暂时将这个释放器命名为艾妮释放器。艾妮释放器，大小12,288字节，MD5值为3e7d75826bb5138339d34fc88b5ed7c8。释放主程序到以下目录，并运行 %Program Files%\Common Files\Microsoft Shared\Web Folders\MSOSVEXT.EXE （大小7,680 字节，UPX加壳，MD5值为18c7c569509c2b7bb2c785bd33d21cc0，Kaspersky检测为Trojan-Downloader.Win32.Small.enp）运行后，会生成 %Program Files%\Common Files\Microsoft Shared\Web Folders\MSOSV.EXE（艾妮释放器副本） %WINDOWS%\svchost.exe（记事本程序，用此程序进行感染文件的操作） %WINDOWS%\debug.txt 然后创建一个名为Hello Ketty (TCP/IP Service)的服务： HKLM\System\CurrentControlSet\Services\Hello Ketty "DisplayName" = "TCP/IP Service" "ImagePath" = "%Program Files%\Common Files\Microsoft Shared\Web Folders\MSOSV.EXE" 从以下地址下载一个配置文件，保存到%Program Files%\Common Files\Microsoft Shared\Web Folders\shift.ini http://<removed>.longge8.com/table.gif table.gif是个加密文档，和以往一样，用来下载一群木马，木马会保存为类似Temp*.exe（*代表大写字母）。同时还会修改hosts文件，创建Hello Download和Hello Dolly的Mutex。 Update 17:50 第一次更新：毒霸：Worm.MyInfect.as Kaspersky将艾妮释放器命名为Trojan-Downloader.Win32.Small.enp 中了这个病毒之后，被感染exe文件基本上不能用了，要清除此病毒只有强行删除那些被感染的文件。很郁闷。总之大家小心点就是了。

大部分杀毒软件专杀都不好使
反病毒专家介绍，“光标漏洞”蠕虫自我传播能力很强。与“熊猫烧香”和威金蠕虫类似，该蠕虫会感染正常的可执行文件和本地网页文件，下载大量木马程序。除此之外，该蠕虫还能够利用自带的SMTP引擎通过电子邮件传播。最令人担心的是，目前病毒利用的微软ANI文件处理漏洞尚无官方补丁，江民反病毒专家担心一场比“熊猫烧香”更可怕的疫情可能会随时发生。 3月30日，江民反病毒中心发布紧急安全警报，一些恶意网站正在通过Windows操作系统一个新的安全漏洞（ANI漏洞）传播木马病毒。Windows在处理动态图标文件时存在严重隐患，利用此漏洞，黑客可以通过制作特殊的ANI文件进行远程攻击。可能的攻击方式包括编写恶意网页或发送恶意电子邮件，用户一旦浏览即可执行黑客指定的任意代码。微软公司于当地时间3月29日确认了这个新漏洞并开始调查工作。目前没有针对该漏洞的补丁程序。在报告发布后的第二天，利用该漏洞的蠕虫病毒“光标漏洞”（I-Worm/MyInfect）即出现在互联网上。江民反病毒专家分析，“光标漏洞”蠕虫的大小为13K左右，病毒运行后，会复制自身到下面目录：%SysDir%\sysload3.exe 并添加注册表键值： HKCU\Software\Microsoft\Windows\CurrentVersion\Run "System Boot Check"="%SysDir%\sysload3.exe" 这样，病毒就可以随Windows系统启动自动运行。病毒会感染本地磁盘和网络共享目录的正常可执行程序。并感染本地磁盘和网络共享目录的多种类型（.HTML .ASPX .HTM .PHP .JSP .ASP）网页文件，植入利用ANI文件处理漏洞的恶意代码。 “光标漏洞”病毒除了具备“熊猫烧香”所有的传播特征外，还可以通过电子邮件传播，病毒邮件特征如下：发件人： i_love_cq@sohu.com 主题：你和谁视频的时候被拍下的？给你笑死了！正文：看你那小样！我看你是出名了！你看这个地址！你的脸拍的那么清楚！你变明星了！ http://macr.microfsot.com/<removed>/134952.htm 病毒还会复制自身到各逻辑磁盘盘根目录下，并创建autorun.inf自动播放配置文件。双击盘符即可激活病毒，造成再次感染。这点与“熊猫烧香”通过U盘激活自身从而“死灰复燃”的特征如出一辙。 “光标漏洞”还会修改系统hosts文件，屏蔽多个网址。这些网址大多是以前用来传播其他病毒的站点。

2楼

zhuhai1111 发表于：2007/7/3 10:42:29

挑战全世界:ANI蠕虫作者发誓今年买宝马

　根据瑞星全球反病毒监测网的监测，前日被截获的"ANI蠕虫"在短短24小时内接连出现5个变种，在互联网上迅速扩散。瑞星反病毒专家介绍说，这些"ANI蠕虫"的变种同样利用上周末才刚出现的Vista、XP等操作系统的ANI高危漏洞，至今微软尚未发布针对该漏洞的补丁。由于此病毒传染速度快、威胁较大，瑞星于上周末发出今年第一个"橙色安全警报"（二级）。

　　据瑞星技术部门分析，"ANI蠕虫"及其变种不仅传播和危害方式与"熊猫烧香"病毒相似，更抄袭了"熊猫烧香"在病毒体内留言的方式，在最新变种的病毒中，瑞星专家发现了"I will by one BMW this year!（我想在今年买一辆宝马）"的留言，明目张胆地表达了病毒编写者的贪婪。据了解，"熊猫烧香"病毒便是以获取经济利益为目的编写，其作者李俊在短短一个月内便获利人民币10万元。

　　在"ANI蠕虫"病毒的第一个变种中，病毒作者加入了"I Hate AVP！（我恨AVP）"的字样。随后的变种病毒中又加入了辱骂瑞星公司的文字，并且试图和杀毒公司对话。在"ANI蠕虫"的多个变种中，作者写下了这样的信息："Hello Rui Xing an kapersky!I don't want to destroy any computers,I don't destroy any documents,I don't infect system files.Don't Kill me!! xV4（你好，瑞星和卡巴斯基！我不想破坏任何电脑、任何文档和感染系统文件。不要杀我！！）"。

　　反病毒专家告诉记者，该病毒并不是以破坏用户计算机为目的而编写，因此用户感染该病毒后几乎无法察觉。但该病毒会从网上下载多种木马、后门病毒，使得用户游戏等账号被盗，或者电脑变成被黑客控制的"肉鸡"，危害比单纯破坏用户计算机的病毒更大。

　　针对上述病毒变种，瑞星已经紧急升级，瑞星杀毒软件2007版19.17.01及以上版本可有效防范该病毒，请用户及时升级杀毒软件并开启实时监控程序。瑞星公司将密切关注该病毒的最新动向，在第一时间查杀该病毒的最新变种。

哭了我家的电脑中了现在还没完全整好．．．．．．

3楼

whisper 发表于：2007/7/3 11:19:08

制造这些病毒的人真可恨！

就不能把聪明才智用在正道上吗？

4楼

青锋剑 发表于：2007/7/3 12:20:07

解决方案：

1、推荐安装超级巡警监测查杀利用该漏洞的相关木马。 2、请广大用户关注微软最近进度，及时升级系统补丁预防更多的ANI漏洞攻击。 3、为了保障广大用户不受木马侵害，建议用户尽量不要访问不可信的陌生网站网站，尤其是通过即时通信工具传送的网址。

可采用的临时办法：

禁止邮件客户端程序的预览功能，确保以文本方式显示内容，在windows资源管理中使用windows传统风格的文件夹。

临时补丁下载：点击下载 (eeye 提供)

补丁源代码：点击查看(eeye 提供)

5楼

海潮发表于：2007/7/3 19:40:17

谢谢楼主提醒，谢谢青锋剑的解决方案。辛苦了

共5 条记录, 每页显示 15 条, 页签: [1]