ARP病毒攻击和Risk.exploit.ani病毒的解决方法
编辑:飘网 来源: 更新:2007-6-27 点击:
【字体:小 大】
摘要: ARP病毒攻击和Risk.exploit.ani病毒的解决方法:下面的内容是对ARP病毒攻击和Risk.exploit.ani病毒的处理给了很好的解决建议;某些病毒或者木马利用ARP欺骗等手段,在用户收到的网络数据包中自动插入iframe代码,代码指向利用MS07-017漏洞的网址。关键字: ARP病毒攻击 Risk.exploit.ani病毒 正文: 最近用户咨询Risk.exploit.ani病毒的问题比较多,该病毒是利用微软MS07-017中的动态光标处理漏洞的畸形ANI文件, 被某些已经挂载木马的网页自动下载。 当用户的浏览器打开带有相关恶意代码的网页,将畸形ANI文件下载到本机临时文件夹中时,这时,毒霸的实时防毒和网页监控会进行报警,由于该文件被IE占用,所以某些情况下毒霸是无法立即删除的。但是毒霸已经专门针对此病毒进行了免疫处理,用户即时没有安装相关漏洞补丁,只要启用毒霸监控,也不会中毒。并且,针对这些文件,毒霸还进行了延迟删除处理,在下次重启系统时,这些被锁定的文件会被自动,下载的畸形ANI文件将不起作用,也就不会通过ANI漏洞去下载真正的病毒木马了。 Risk是危险代码的意思,所指这个病毒的类型; Exploit意思是通过系统漏洞进行入侵的后门、木马、蠕虫; Ani“光标漏洞”蠕虫自我传播能力很强。与“熊 猫烧香”和威金蠕虫类似,该蠕虫会感染正常的可执行文件和本地网页文件,下载大量木马程序。除此之外,该蠕虫还能够利用自带的SMTP引擎通过电子邮件传 播继熊猫烧香之后,一只新的蠕虫病毒“光标漏洞”(I-Worm/MyInfect)正利用微软Windows系统ANI文件处理漏洞疯狂传播,“光标漏洞”蠕虫自我传播能力很强。与“熊猫烧香”和威金蠕虫类似,该蠕虫会感染正常的可执行文件和本地网页文件,下载大量木马程序。除此之外,该蠕虫还能够利用自带的SMTP引擎通过电子邮件传播。 “光标漏洞”蠕虫的大小为13K左右,病毒运行后,会复制自身到下面目录:
%SysDir%\sysload3.exe 并添加注册表键值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"System Boot Check"="%SysDir%\sysload3.exe"
这样,病毒就可以随Windows系统启动自动运行。 病毒会感染本地磁盘和网络共享目录的正常可执行程序。并感染本地磁盘和网络共享目录的多种类型(.HTML .ASPX .HTM .PHP .JSP .ASP)网页文件,植入利用ANI文件处理漏洞的恶意代码 解决步骤: 第一步:打上浏览器补丁,彻底远离和禁止Exploit.Win32.IMG-ANI光标漏洞蠕虫病毒下载Firefox,Firefox已经集成了Exploit.Win32.IMG-ANI光标漏洞蠕虫病毒的补丁, 如果你是电脑高手更应该了解,针对IE7和遨游等的漏洞,最新Firefox已经修补了这些补丁。 没有此补丁,病毒将无法清楚干净,杀了病毒还会有,下载后安装并运行一次, 自动安装此病毒补丁。以后用这上网将不会再感染该病毒。点此进入下载:http://firefox.andylan.cn/b1.htm 第二步:打上windows系统补丁(按自己的电脑版本)(http://kaba.91fox.cn/read-htm-tid-1991.html) 第三步:开机一直按F8就可进入安全模式.
在杀病毒时,方法很重要.一定要在安全模式下杀毒.
这样的好处是,有些病毒在正常情况下与其它程序有关联,你无法查杀.
所以一定要在安全模式下. 第四步:安全模式下杀木马,因为你电脑里可能有木马了,因为木马通过ANI漏洞传到你的电脑里了
处理完毕!
有两种情况,需要注意:
1.对于病毒本身而言,清除是简单的,关闭浏览器,然后清空IE临时文件夹,补丁编号MS07-017 KB912919,详细情况见http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx ,如果是本机感染病毒,可以根据日志提取样本。 2.局域网其他计算机感染病毒进行会话劫持攻击,最近的咨询也比较多,上面的处理方法就无效了。因为病毒本来不一定在当前这台客户机上。某些病毒或者木马利用ARP欺骗等手段,在用户收到的网络数据包中自动插入iframe代码,代码指向利用MS07-017漏洞的网址。使得中毒用户,以及局域网中受到此中毒电脑的欺骗攻击的用户,在上任意网站的时候都会提示存在该病毒。
通俗点说,就是局域网某个计算机感染病毒或者木马,该病毒发送arp欺骗,然后在所有的网页访问的tcp数据中插入一段iframe代码,只要网内的计算机通过网关上网,所有的网页都会跳转到iframe制定的网页,该网页是存在畸形ANI文件,所以毒霸会不断的报警。显示的Risk.exploit.ani只不过是一种表现,就像木马下载器和木马,其原理和功能有天壤之别。
[1][2][3]
|
|
|
|
