科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道ANI艾妮病毒完整解决方案全解析

ANI艾妮病毒完整解决方案全解析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

近日,一名为ANI漏洞的蠕虫病毒非常活跃(现已被国家计算机病毒应急处理中心统一命名为"艾妮")。一时间,媒体争先报道,很多用户也纷纷中招,但大家都很困惑,不知道感染了这个病毒后究竟该如何处理?

作者:论坛整理 来源:zdnet网络安全 2008年5月25日

关键字: 病毒 防病毒 病毒防范 反病毒 木马 杀毒软件

  • 评论
  • 分享微博
  • 分享邮件

近日,一名为ANI漏洞的蠕虫病毒非常活跃(现已被国家计算机病毒应急处理中心统一命名为"艾妮")。一时间,媒体争先报道,很多用户也纷纷中招,但大家都很困惑,不知道感染了这个病毒后究竟该如何处理?

虽然网络上关于这个病毒的文章很多,但大多数都停留在介绍病毒阶段,即使涉及到解决方案也只有简单几句,对那些感染该病毒的用户也只是杯水车薪。

金山毒霸反病毒工程师李铁军在自己的博客里详细地介绍了该病毒的预防及解决方案,希望能够对已经感染该病毒的用户有所帮助!

下面具体介绍下这个"艾妮"(ANI)蠕虫病毒

病毒名:艾妮(别名,麦英、ANI蠕虫)

英文名:MyInfect.af/DlOnlineGames/Trojan-Downloader.Win32.Agent.bky

技术分析

1、释放病毒文件到如下路径:

%SYSTEM%sysload3.exe

2、修改注册表,添加如下键值:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun

"System Boot Check"="C:WINDOWSsystem32sysload3.exe"

3、起IE进程,注入病毒代码,连接网络下载大量病毒、木马程序,当发现病毒新版本时,会下载更新。

4、发送邮件传播自身:

主题:你和谁视频的时候被拍下的?给你笑死了!

内容:看你那小样!我看你是出名了!

你看这个地址!你的脸拍的那么清楚!你变明星了!

5、起NOTEPAD进程,便利本地磁盘,网络共享目录,感染大小在10K---10M之间的.exe文件,感染扩展名为.ASP、.JSP、PHP、HTM、ASPX、HTML的脚本文件,使病毒难以被察觉。

6、修改host文件,屏蔽访问某些网站

7、检测软驱,若存在则复制病毒文件到其中文件名为tool.exe,并生成autorun.inf文件,使病毒可以自动运行,以传播自身。

这个应该是病毒编写的BUG,目前软驱已经基本被淘汰了,如果发现以下提示框,您很可能是中了"爱你"病毒。

清除步骤   

1.因为利用ANI漏洞的木马和病毒很多,艾妮病毒变种也很多,并且艾妮是个感染型的蠕虫,会感染破坏EXE程序和网页格式的文件,首先推荐你使用杀毒软件查杀。

2.手工查杀,首先结束notepad.exe进程和iexplore.exe进程

3. 删除病毒自启动项:

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"System Boot Check"="%System%sysbmw.exe"

4. 删除引用的病毒文件:

%System%sysbmw.exe

%System%sys_ini.ini

防护措施:   

1.少去不安全站点,对通过MSN,QQ,以及邮件发来的不明链接,不要去点击

2.注意微软发布该漏洞补丁程序的信息,发布后,请第一时间下载安装

3.升级杀毒软件,目前金山毒霸已经升级提供了针对ANI漏洞本身和艾妮蠕虫病毒的免疫程序,可有效阻止上网时被此类病毒感染。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章