熱點推薦:
您现在的位置: 電腦知識網 >> 網絡技術 >> 正文

ANI蠕蟲相關知識

2013-09-12 15:54:01  來源: 網絡技術 

  微軟的操作系統是目前使用人數最多的,如果大范圍出現問題,那麼後果不堪設想,可是就在今年的3月31日,全球的Windows用戶都面臨來自系統漏洞的威脅,而且涉及的產品包含了現在所有主流版本的Windows。www.sq120.com推薦文章

ANI蠕蟲病毒閃電襲擊
  3月31日,廣東的張先生在上網時,浏覽器突然提示要下載一名為“你絕對想不到”的圖片文件,他認為圖片文件一般不會有什麼問題,結果打開後卻發現什麼也沒有。這時電腦突然頓了一下,網速也下降很嚴重,似乎有什麼東西在占用著網絡。
  當天晚上,他在登錄QQ時就提示密碼錯誤。他感覺不妙,准備用殺毒軟件檢查一下電腦,卻發現鼠標竟然自己動了,還在翻找著自己的文件。這時他才發現已經有人入侵了他的電腦。
  在3月31日,有同張先生一樣遭遇的網民不計其數。這些受害的網民都有一個共同點,他們都使用Windows2000以上的操作系統。怎麼回事呢?原來,微軟多個操作系統被曝存在一處嚴重的漏洞,並已被多個高危病毒利用,開始在全球范圍傳播,遭殃的系統還包括號稱安全性極強的Vista。
  說起這次ANI漏洞襲擊可以用閃電速度來形容,其實早在去年12月微軟就已在NT內核平台中發現處理鼠標動態指針圖形文件(.ANI)時存在漏洞,但當時並未公開。3月末該漏洞被曝光,就在漏洞被曝光的第2天,網上就出現了利用此漏洞傳播的蠕蟲,當天全球即出現了100多個利用ANI漏洞發起攻擊的網站,各大安全廠紛紛發布病毒警告,而很快地,國內就發現了此類蠕蟲。tw.WInGWiT.cOm
病毒瘋狂繁衍
  僅僅2天時間ANI蠕蟲就已在國內大范圍繁衍各類變種,國內三大安全廠商均截獲了大量利用ANI漏洞傳播的各類蠕蟲和木馬病毒,並各自采取了相應的緊急措施。
  為什麼此次ANI蠕蟲傳播速度會如此之快?正是惡意ANI文件制作相對容易,且能輕易打開系統入口,國內才有大批利用此漏洞的惡性病毒出現,甚至出現了惡意ANI文件生成器。
  有安全廠商僅1天時間就截獲了5個新變種。短短數日,超過13個利用此漏洞的病毒相繼出現。目前已有20多個網站被攻陷,並被掛ANI蠕蟲企圖竊取QQ及網游賬戶,甚至偷窺用戶隱私。
  一些已被控制住的惡性病毒也利用此漏洞衍生最新變種,企圖死灰復燃,例如現在已經出現了“威金”的ANI版變種。如果這種情況不加以控制,極有可能大規模爆發病毒,危害甚至超過剛熄滅不久的“熊貓燒香”。
  目前,各大安全廠商均嚴陣以待,密切關注新病毒爆發的跡象,例如國內著名安全廠商瑞星就已將當前病毒疫情調至橙色危險級別,這也是今年發布的第一個橙色危險警報。
  或許使用Firefox、Opera等第三方浏覽器的用戶正暗自慶幸可以躲過網頁中嵌入的惡意ANI蠕蟲,然而事實是,他們並不能阻止這些畸形ANI文件的運行。同時,QQ用戶注意不要輕易接收好友發來的不明圖片文件,因為已經發現此病毒可利用捆綁技術將自身嵌入圖片傳播。
資料:ANI漏洞
  Windows系統在處理畸形的動畫圖標文件(.ani)時存在緩沖區溢出漏洞,遠程攻擊者可能利用此漏洞控制用戶機器。這個漏洞主要是Windows在處理畸形文件(.ani)時沒有正確地驗證ANI文件頭中所指定的大小,導致棧溢出漏洞。
  如果用戶使用IE浏覽器訪問了惡意站點或打開了惡意的郵件消息,就會觸發這個溢出,導致執行任意的危險代碼,惡意程序將被自動下載到用戶的IE臨時目錄並得到執行。
  由於此漏洞造成病毒大幅增加,微軟已經提前發布了原定於本月10號發布的安全補丁,其他版本的用戶可訪問微軟網站自行下載,並將通過法律手段,在全球范圍緝拿惡意制造ANI病毒的犯罪分子。
ANI蠕蟲“麥英”啃噬系統
  此次ANI漏洞受害者中,絕大多數是中了ANI蠕蟲“麥英”以及它的變種,如果不小心感染了“麥英”病毒,則很難將它徹底消滅。同時,短短幾天時間,“麥英”的變種已經發展到13個之多。安全形勢不容樂觀!
“麥英”病毒特征
  “麥英”病毒是一種極具破壞力的蠕蟲病毒,它利用微軟動畫光標ANI漏洞,通過電子郵件和惡意網站等進行傳播。該漏洞影響包括Vista在內的Windows 所有主流版本。
  “麥英”病毒可感染本地磁盤、閃存、共享目錄以及大小在10KB~10MB之間的所有EXE文件,被感染後電腦運行速度極慢,還可導致企業局域網大面積癱瘓。病毒向外大量發送電子郵件,郵件主題為“你和誰視頻的時候被拍下的?給你笑死了!”其中附件即為病毒體。
  另外,“麥英”病毒還可以感染擴展名為ASP、JSP、PHP、HTM、ASPX、HTML的腳本文件,病毒采用線程注入等技術所以很難被徹底清除。
如何清除病毒
  關閉所有不用的程序,斷開網絡連接(包括局域網連接)。按“Ctrl+Alt+Del”鍵打開任務管理器,查找有沒有IE進程(IEXPLORE.EXE)、記事本程序進程(NOTEPAD.EXE),以及sysload3.exe文件進程,如果有,把它們全部結束(圖1)。

  在注冊表編輯器中依次展開HKEY_CURR ENT_USER\Software\Microsoft\Windows\CurrentVersion\Run主鍵,刪除下面的“System Boot Check”=“C:\WINDOW S\system32\sysload3.exe”鍵值(圖2)。

  注意:以上操作步驟先後順序不能錯,因為許多EXE文件被感染了,所以不要運行其他EXE可執行文件,以免病毒被再次激活。激活病毒後,會重新向注冊表中寫入啟動項。
  重啟電腦到安全模式下,使用更新了最新病毒庫的殺毒軟件對硬盤進行全面查毒,清除所有被感染的文件,因為被感染的EXE文件數量龐大,這是最高效的處理方法。
黑客大肆利用ANI漏洞
  微軟操作系統曝出重大漏洞,Windows 2000以上的所有系統受到影響,這也給微軟號稱安全性超強的Vista當頭一棒。在微軟還沒有發布漏洞補丁的時候,黑客大肆攻擊所有Windows用戶,網絡安全受到極大影響。要防御就必須知道對方如何進攻,現在我們就看看黑客是如何利用漏洞攻擊系統的。
系統就這樣被攻陷
  運行ANI漏洞的利用程序,只要在網頁木馬地址中輸入木馬服務端程序的網頁地址即可,然後點擊“生成+智能”按鈕即可漏洞利用文件(圖3)。該漏洞利用程序還增加了一個智能判斷系統,可以入侵安裝有全部補丁的Windows XP系統,同時根據不同的系統使用不同的漏洞,從而提高網頁木馬的命中率。

  不只ANI這種格式的光標文件可以被利用,其他格式的光標文件同樣可以。我們看到漏洞利用工具一共生成了6個文件,其中有一個名為0day的JPG圖片文件,這就是生成的ANI漏洞的利用文件(圖4)。將這6個文件同時上傳到自己的網絡空間中,然後將網頁木馬通過即時通訊軟件、電子郵件等方式發布出去。
  這是一個全新的系統漏洞,所以很快就可以看到上線的肉雞。

堵住ANI漏洞
  目前微軟已經發布了針對ANI漏洞的補丁,廣大用戶應該立即下載並安裝補丁(Windows XP用戶下載:http://down load.microsoft.com/download/5/8/3/58324bce-00c5-42b7-bd05-1353c0604dab/WindowsXP-KB925902-x86-CHS.exe,其他版本的用戶可訪問微軟網站自行下載)。針對暫時還無法安裝微軟補丁的用戶,我們推薦大家先使用一些臨時解決方法來進行防范。
  1. 安裝第三方的安全組織eEye提供的第三方補丁進行修補(下載地址:http://dl.360safe.com/AniPatch.rar)。注意:安裝該補丁需要關閉防火牆以及殺毒軟件,否則將導致系統崩潰。
  2. 利用純文本格式讀取郵件信息,如果使用Vista系統,則禁用Vista系統的預覽欄。
  3. 關閉自動運行功能,我們可以利用超級兔子或者Windows優化大師來關閉。
  4. 在Windows資源管理器“工具→文件夾選項→任務”中選擇“使用Windows傳統風格的文件夾”。
  5. 開啟網絡防火牆,限制可疑程序訪問網絡的權限,禁止陌生程序發送電子郵件功能。

 
From:http://tw.wingwit.com/Article/Network/201309/457.html
  • 上一篇文章:

  • 下一篇文章:
  • Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.