近日，一名為ANI漏洞的蠕蟲病毒非�；钴S（現(xiàn)已被國家計算機病毒應(yīng)急處理中心統(tǒng)一命名為"艾妮"）。一時間，媒體爭先報道，很多用戶也紛紛中招，但大家都很困惑，不知道感染了這個病毒后究竟該如何處理？雖然網(wǎng)絡(luò)上關(guān)于這個病毒的文章很多，但大多數(shù)都停留在介紹病毒階段，即使涉及到解決方案也只有簡單幾句，對那些感染該病毒的用戶也只是杯水車薪。

　　金山毒霸反病毒工程師李鐵軍在自己的博客里詳細(xì)地介紹了該病毒的預(yù)防及解決方案，希望能夠?qū)σ呀?jīng)感染該病毒的用戶有所幫助！

　　下面具體介紹下這個"艾妮"（ANI）蠕蟲病毒

　　病毒名：艾妮（別名，麥英、ANI蠕蟲）
　　英文名：MyInfect.af/DlOnlineGames/Trojan-Downloader.Win32.Agent.bky

　　技術(shù)分析
　　1、釋放病毒文件到如下路徑：
　　%SYSTEM%\sysload3.exe

　　2、修改注冊表，添加如下鍵值：
　　HKCU\Software\Microsoft\Windows\CurrentVersion\Run
　　"System Boot Check"="C:\WINDOWS\system32\sysload3.exe"

　　3、起IE進程，注入病毒代碼，連接網(wǎng)絡(luò)下載大量病毒、木馬程序，當(dāng)發(fā)現(xiàn)病毒新版本時，會下載更新。

　　4、發(fā)送郵件傳播自身：

　　主題:你和誰視頻的時候被拍下的？給你笑死了！
　　內(nèi)容：看你那小樣！我看你是出名了！
　　你看這個地址！你的臉拍的那么清楚！你變明星了！

　　5、起NOTEPAD進程，便利本地磁盤，網(wǎng)絡(luò)共享目錄，感染大小在10K---10M之間的.exe文件，感染擴展名為.ASP、.JSP、PHP、HTM、ASPX、HTML的腳本文件，使病毒難以被察覺。

　　6、修改host文件，屏蔽訪問某些網(wǎng)站

　　7、檢測軟驅(qū)，若存在則復(fù)制病毒文件到其中文件名為tool.exe，并生成autorun.inf文件，使病毒可以自動運行，以傳播自身。
　　這個應(yīng)該是病毒編寫的BUG，目前軟驅(qū)已經(jīng)基本被淘汰了，如果發(fā)現(xiàn)以下提示框，您很可能是中了"愛你"病毒。
　　

　　清除步驟
　　1.因為利用ANI漏洞的木馬和病毒很多，艾妮病毒變種也很多，并且艾妮是個感染型的蠕蟲，會感染破壞EXE程序和網(wǎng)頁格式的文件，首先推薦你使用殺毒軟件查殺。
　　2.手工查殺，首先結(jié)束notepad.exe進程和iexplore.exe進程
　　3. 刪除病毒自啟動項：
　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
　　"System Boot Check"="%System%\sysbmw.exe"
　　4. 刪除引用的病毒文件：
　　%System%\sysbmw.exe
　　%System%\sys_ini.ini

　　防護措施：
　　1.少去不安全站點，對通過MSN，QQ，以及郵件發(fā)來的不明鏈接，不要去點擊
　　2.注意微軟發(fā)布該漏洞補丁程序的信息，發(fā)布后，請第一時間下載安裝
　　3.升級殺毒軟件，目前金山毒霸已經(jīng)升級提供了針對ANI漏洞本身和艾妮蠕蟲病毒的免疫程序，可有效阻止上網(wǎng)時被此類病毒感染。

　　附:如何應(yīng)對ANI漏洞帶來的病毒危機?

　　上周，金山反病毒中心發(fā)現(xiàn)部分網(wǎng)站利用Windows動畫光標(biāo)（ANI）文件漏洞傳播木馬，這些木馬通常以盜號為目的。微軟尚未就此漏洞發(fā)布補丁程序，同時，互聯(lián)網(wǎng)已經(jīng)出現(xiàn)利用該漏洞的網(wǎng)頁木馬生成器。

　　不久，首個利用該漏洞傳播的蠕蟲病毒--艾妮（Worm.MyInfect.af）出現(xiàn)，該病毒集熊貓燒香、維金兩大病毒的特點于一身，是一個傳播性與破壞性極強的蠕蟲，不但能瘋狂感染用戶電腦中的.exe文件，還會下載其它木馬和病毒程序，病毒通過局域網(wǎng)傳播可能導(dǎo)致內(nèi)網(wǎng)大面積癱瘓。更為嚴(yán)重的是，利用微軟動畫光標(biāo)（ANI）漏洞傳播，使得包括在安全性上煞廢苦心的Vista系統(tǒng)也無法幸免，用戶只要瀏覽帶有惡意代碼的Web網(wǎng)頁或電子郵件將立刻感染該病毒。金山反病毒中心針對該漏洞的危險性，已緊急提供免疫程序。據(jù)最新統(tǒng)計結(jié)果表明，僅1天時間，該免疫器就成功阻止了超過3萬次攻擊事件發(fā)生。

　　漏洞表現(xiàn)：
　　訪問帶毒網(wǎng)頁時，會感覺IE窗口顯示有點慢，有時IE窗口會失去響應(yīng)，部分殺毒軟件會報告發(fā)現(xiàn)木馬或病毒。但這種現(xiàn)象可能只會被少數(shù)用戶所關(guān)注，多數(shù)用戶感覺不明顯。

　　受此漏洞影響的操作系統(tǒng)：
　　Windows 2000
　　Windows XP 32/64
　　Windows 2003 32/64
　　Windows Vista 32/64

　　受此影響的瀏覽器：
　　IE6、IE7、Firefox、Opera

　　受此影響的其它應(yīng)用軟件：
　　QQ、MSN、電子郵件客戶端、AcdSee、RSS閱讀器

　　清除方法：
　　因為利用該漏洞傳播的木馬、病毒非常多，并且"艾妮"蠕蟲同時會感染可執(zhí)行程序，手工查殺更加困難。同樣，因為此類病毒較多，金山反病毒中心不會提供針對此漏洞的專殺工具。建議用戶安裝金山毒霸，并立即升級到最新病毒庫，以清除已知利用該漏洞傳播的病毒、木馬程序。企業(yè)用戶一旦在內(nèi)網(wǎng)發(fā)現(xiàn)"艾妮"病毒，應(yīng)立即進行全網(wǎng)查殺。金山毒霸在4月3日的緊急更新中還提供了針對"艾妮"類蠕蟲病毒的免疫功能，可阻止此類蠕蟲病毒通過其它途徑大量傳播。

　　ANI漏洞免疫是如何實現(xiàn)的?

　　ANI漏洞免疫功能：在有害ANI文件下載到本地時立即進行攔截，根本不給IE瀏覽器加載ANI文件的機會，從而避免了利用ANI漏洞的攻擊。

　　艾妮病毒的免疫功能：是毒霸專門為"艾妮"類蠕蟲病毒制作的免疫程序，因為艾妮病毒具備和熊貓燒香類似的傳播特點，啟動毒霸的這個免疫功能后，可以阻止"艾妮"類蠕蟲病毒利用其它途徑大量傳播。

　　防范措施：
　　1.因微軟公司尚未發(fā)布針對此漏洞的補丁程序，建議用戶立即安裝殺毒軟件并升級到最新，以降低安全風(fēng)險。
　　2.金山毒霸單機版、企業(yè)版客戶端已經(jīng)集成針對動畫光標(biāo)（ANI）漏洞的免疫功能，升級后，即可阻止下載利用該漏洞傳播的木馬、病毒程序。
　　3.目前，該漏洞幾乎影響所有的互聯(lián)網(wǎng)瀏覽器，瀏覽不安全的網(wǎng)就會中毒，目前，已經(jīng)發(fā)現(xiàn)有部分大網(wǎng)站也被植入含有動畫光標(biāo)漏洞的特殊ANI文件。提醒廣大網(wǎng)民朋友，不要輕易點擊通過QQ、MSN、電子郵件等發(fā)送的網(wǎng)頁鏈接。
　　4.提醒網(wǎng)頁編輯朋友，立即使用殺毒軟件檢查本地網(wǎng)頁文件，清除因"艾妮"病毒的感染破壞導(dǎo)致網(wǎng)頁中嵌入病毒代碼，防止其它網(wǎng)民上網(wǎng)瀏覽帶毒的網(wǎng)頁而反復(fù)中毒。