最近用户咨询Risk.exploit.ani病毒的问题比较多,该病毒是利用微软MS07-017中的动态光标处理漏洞的畸形ANI文件, 被某些已经挂载木马的网页自动下载。当用户的浏览器打开带有相关恶意代码的网页,将畸形ANI文件下载到本机临时文件夹中时,这时,毒霸的实时防毒和网页监控会进行报警,由于该文件被IE占用,所以某些情况下毒霸是无法立即删除的。但是毒霸已经专门针对此病毒进行了免疫处理,用户即时没有安装相关漏洞补丁,只要启用毒霸监控,也不会中毒。并且,针对这些文件,毒霸还进行了延迟删除处理,在下次重启系统时,这些被锁定的文件会被自动,下载的畸形ANI文件将不起作用,也就不会通过ANI漏洞去下载真正的病毒木马了。
有两种情况,需要注意:
1.对于病毒本身而言,清除是简单的,关闭浏览器,然后清空IE临时文件夹,补丁编号MS07-017 KB912919,详细情况见http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx ,如果是本机感染病毒,可以根据日志提取样本。
2.局域网其他计算机感染病毒进行会话劫持攻击,最近的咨询也比较多,上面的处理方法就无效了。因为病毒本来不一定在当前这台客户机上。
某些病毒或者木马利用ARP欺骗等手段,在用户收到的网络数据包中自动插入iframe代码,代码指向利用MS07-017漏洞的网址。使得中毒用户,以及局域网中受到此中毒电脑的欺骗攻击的用户,在上任意网站的时候都会提示存在该病毒。
通俗点说,就是局域网某个计算机感染病毒或者木马,该病毒发送arp欺骗,然后在所有的网页访问的tcp数据中插入一段iframe代码,只要网内的计算机通过网关上网,所有的网页都会跳转到iframe制定的网页,该网页是存在畸形ANI文件,所以毒霸会不断的报警。显示的Risk.exploit.ani只不过是一种表现,就像木马下载器和木马,其原理和功能有天壤之别。
对于该类情况,也比较容易判断,如果是局域网用户,一般其他的电脑也存在该问题,而且是访问任意网站都会存在该提示。由于不是本机感染病毒,所有对该计算机进行杀毒,扫描提取样本可能都是无效的。用户需要找到的是发送arp欺骗,从而导致出现该现象的机器,这个需要网管抓包来分析,用户个人是无法完成的。当然无论如何,首要解决的是安装补丁。
来源:
金山论坛
