蠕虫“艾妮”情况分析和解决方案

简介:


来自:飘雪工作室

 
国家计算机病毒应急处理中心通过对互联网的监测发现“艾妮”复合型病毒。该病毒通过 微软Windows系统ANI(动态光标)文件处理的漏洞、感染正常的可执行文件和本地网页文件、发送电子邮件、和感染优盘及及移动存储介质等途径进行传播,病毒自我传播能力很强。并且感染该病毒后,会自动下载运行木马程序,造成较大危害。

该蠕虫先后出现很多变种,在出现后的短时期内迅速传播,遭受感染的用户难于彻底清除,给其工作带来诸多不便。

蠕虫情况分析如下

病毒名称:Worm_MyInfect.af

中 文 名:“艾妮”

其他名称:I-Worm/AniLoad(江民)

Worm.MyInfect ( 金山

Worm.DlOnlineGames (瑞星)

病毒类型:复合型

感染系统:Windows 9X/ Windows ME/ Windows NT/ Windows 2000/Windows XP/ Windows 2003/ Windows Vista

病毒特性

1、生成病毒文件

病毒运行后,复制自身到下面目录:%SysDir%sysload3.exe

2、 修改注册表项

HKCUSoftware MicrosoftWindowsCurrentVersionRun"System Boot Check"="%SysDir%sysload3.exe"这样,病毒就可以 随Windows系统启动自动运行。

3、感染系统中文件

它能感染本地磁盘和网络共享目录中的可执行文件和脚本文件。

1) 感染可执行文件

将被感染文件和病毒融合成一个文件(被感染文件贴在病毒文件尾部)完成感染。

2) 脚本类文件

在这些脚本文件尾加上如下注示 下载该脚本文件,里面含有如下代码:


以上两个图片链接利用了ANI漏洞,图片文件中含有溢出攻击代码,因此打开上面的Noindex.js网页时便会中毒。

4、下载指定网址文件

从指定网址下载木马程序和病毒升级程序。

5、通过电子邮件传播

病毒邮件特征如下:

发件人: [email]i_love_cq@sohu.com[/email]

主题:你和谁视频的时候被拍下的?给你笑死了!

正文:

看你那小样!我看你是出名了!

你看这个地址!你的脸拍的那么清楚!你变明星了!http://****.microfsot.com/***/134952.htm如果用户点击了以上带有病毒的网页,就会遭受感染。

6、其它

遍历a-z的所有驱动器,如果该驱动器为“可移动存储”就在该驱动器上创建AUTORUN.INF,来达到传播自己的目的。检测软驱,若存在则复制病毒文件到其中文件名为tool.exe,并生成autorun.inf文件,使病毒可以自动运行,以传播自身。修改hosts文件,屏蔽多个网址。这些网址大多是以前用来传播其他病毒的站点。

解决方法

1、对没有遭受感染的计算机用户,应该尽快安装 微软公司最新操作系统补丁(KB925902),并及时升级系统中的防病毒软件,同时打开防病毒软件的“实时监控”功能。

2、对已经感染变种的计算机用户,建议尽快下载专杀工具进行查杀修复工作。并安装 微软公司最新操作系统补丁(KB925902)。

专杀工具下载链接地址:

[url]http://download.jiangmin.info/jmsoft/ANIWormKiller.exe [/url](江民公司)

微软公司相关补丁下载地址:

[url]http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx[/url]

安全建议

1、局域网的计算机用户尽量避免创建可写的共享目录,已经创建共享目录的应立即停止共享。

2、如无必要,Windows 2000/XP用户应尽量关闭IPC$共享,并给具有管理员权限的帐号设置复杂的密码。

3、及时安装 微软的安全更新,不要随意访问来源不明的网站。

4、计算机系统安装防病毒软件,并及时升级病毒定义库。

5、计算机用户使用U盘等移动设备交换文件时,务必开启杀毒软件的“实时监控”功能,或先用防病毒软件扫描,并关闭自动播放功能。

6、用户应慎用操作系统默认提供的“自动播放”功能,防止在使用移动存储介质过程中受到感染。用户可以在超级用户权限下按如下方法关闭该功能:

Windows XP用户:

“开始”->“运行”->输入“gpedit.msc”确定后打开“组策略”;

依次打开:“计算机配置”->“管理模板”->单击“系统”项;

在右边设置中有一项“关闭自动播放”,双击打开其属性;

选择“己启用”在属性框中选中所有驱动器,点击“确定”;

同理再打开: “用户配制”->“管理模板”->单击“系统”项;

在右边设置中有一项“关闭自动播放”,双击打开属性;

选择“己启用”在属性框中选中所有驱动器,点击“确定”;

即可关闭自动播放。

注:Windows 2000用户打开“组策略”方法是,“开始”->“运行”->

输入“mmc”->单击确定,打开控制台,选择“控制台” 菜单中“添加/删除管理单元”,单击“添加”,选择“组策略”->添加;



















本文转自starger51CTO博客,原文链接:http://blog.51cto.com/starger/24086  ,如需转载请自行联系原作者





相关文章
|
存储 监控
蠕虫分析
简单看下报告的概要信息,有 Ramnit 标签。Ramnit 蠕虫是一种通过可移动驱动器传播的蠕虫。该蠕虫还可以作为后门,允许远程攻击者访问受感染的计算机,通常会寄生在用户的浏览器中,难以察觉,因此每天都有数以万计的用户受其困扰。
|
7月前
|
安全 网络安全 数据安全/隐私保护
网络安全攻防技术与实践:防御黑客入侵的有效手段
在当今互联网高速发展的时代,网络安全问题越来越受到人们的重视。黑客攻击已经成为一个严重的问题,给我们的个人隐私和企业的商业机密带来了极大的风险。本文将介绍一些网络安全攻防技术,以帮助读者加强网络安全意识,保护自己的信息安全。
|
7月前
|
安全
恶意软件分析
恶意软件分析
84 0
|
安全 网络安全
常用恶意软件分析平台汇总
常用恶意软件分析平台汇总
101 0
|
安全 数据安全/隐私保护
服务器木马如何查杀之威胁情报分析
威胁情报,顾名思义它是威胁的情报,这个情报的产出是什么,是人。也就是说通过很多人或者一些自动采集的设备,形成的一个数据报告,就是威胁情报。那威胁情报有很多的平台,这些平台可以查出域名和IP地址的信誉度,如果咱们发现IP和域名的信誉度非常低,并且存在攻击的行为,那迅速给它封禁。那举个形象点的例子,比如现在小明,那小明欠了别人几千块钱,法院把它列为被执行人,他就变成老赖了。那这个时候你坐地铁或者坐高铁是不是就不行了,IP和域名的信誉度也是一样的,你一旦被标记为攻击IP或者木马反连,这时候对于我们来说,你这个IP就没有信誉度了,我发现你这个地址,我的服务在访问你,就怀疑它是攻击,那看一下有哪些平台,
206 0
|
云安全 运维 安全
10月云上勒索病毒现状跟踪
近些年随着勒索即服务(Ransomware-as-a-service)模式的流行,勒索病毒形成了越来越复杂的地下黑色产业链结构,新的勒索家族在不断涌现,老的家族也在不断产生变种,给勒索病毒检测和勒索病毒的自动化防御都带来巨大的挑战。 同时,勒索病毒的操纵者们从性价比的角度出发,改变策略,攻击目标从广撒网改到精准投放,打击关键的高价值目标,以此换取高额赎金,并且从单纯的勒索行为到与僵尸网络,挖矿等相互结合,以实现利益的最大化。
590 0
10月云上勒索病毒现状跟踪
|
安全 云安全 数据格式
watchbog再升级,企业黄金修补期不断缩小,或面临蠕虫和恶意攻击
如果用户没有在8月9日-8月21日这个黄金时间内对漏洞进行修补,则可能遭到定向攻击者的成功攻击。而在9月6日后,存在漏洞并且还未修复的用户,面对僵尸网络不停的扫描,几乎没有侥幸逃过攻击的可能性。
2309 0
|
网络协议 安全
专家解读《木马和僵尸网络监测与处置机制》
从今年6月1日起,我国将执行《木马和僵尸网络监测与处置机制》,以更有效地防范和处置木马和僵尸网络引发的网络安全隐患,净化网络环境,维护公共互联网安全。   《机制》将木马和僵尸网络事件分为特别重大、重大、较大、一般共四级。
1964 0
|
安全 内存技术
恶意软件逃避反病毒引擎的几个新方法
本文讲的是恶意软件逃避反病毒引擎的几个新方法,火眼研究人员发现的几种恶意软件样本使用了一些耐人寻味的技术,能够更长久地维持对反病毒引擎的隐身状态。
1608 0