近日，一名為ANI漏洞的蠕蟲病毒非常活躍（現已被國家計算機病毒應急處理中心統一命名為“艾妮”）。一時間，媒體爭先報道，很多用戶也紛紛中招，但大家都很困惑，不知道感染了這個病毒后究竟該如何處理？雖然網絡上關于這個病毒的文章很多，但大多數都停留在介紹病毒階段，即使涉及到解決方案也只有簡單幾句，對那些感染該病毒的用戶也只是杯水車薪。

金山毒霸反病毒工程師李鐵軍在自己的博客里詳細地介紹了該病毒的預防及解決方案，希望能夠對已經感染該病毒的用戶有所幫助！

下面具體介紹下這個“艾妮”（ANI）蠕蟲病毒。

病毒名：艾妮（別名，麥英、ANI蠕蟲）

英文名：MyInfect.af/DlOnlineGames/Trojan-Downloader.Win32.Agent.bky

技術分析：

1、釋放病毒文件到如下路徑：

%SYSTEM%\sysload3.exe

2、修改注冊表，添加如下鍵值：

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"System Boot Check"="C:\WINDOWS\system32\sysload3.exe"

3、起IE進程，注入病毒代碼，連接網絡下載大量病毒、木馬程序，當發現病毒新版本時，會下載更新。

4、發送郵件傳播自身：

主題:你和誰視頻的時候被拍下的？給你笑死了！
內容：看你那小樣！我看你是出名了！
你看這個地址！你的臉拍的那么清楚！你變明星了！

5、起NOTEPAD進程，便利本地磁盤，網絡共享目錄，感染大小在10K---10M之間的.exe文件，感染擴展名為.ASP、.JSP、PHP、HTM、ASPX、HTML的腳本文件，使病毒難以被察覺。

6、修改host文件，屏蔽訪問某些網站

7、檢測軟驅，若存在則復制病毒文件到其中文件名為tool.exe，并生成autorun.inf文件，使病毒可以自動運行，以傳播自身。

這個應該是病毒編寫的BUG，目前軟驅已經基本被淘汰了，如果發現以下提示框，您很可能是中了“愛你”病毒。

清除步驟：

1.因為利用ANI漏洞的木馬和病毒很多，艾妮病毒變種也很多，并且艾妮是個感染型的蠕蟲，會感染破壞EXE程序和網頁格式的文件，首先推薦你使用殺毒軟件查殺。

2.手工查殺，首先結束notepad.exe進程和iexplore.exe進程

3. 刪除病毒自啟動項：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"System Boot Check"="%System%\sysbmw.exe"

4. 刪除引用的病毒文件：

%System%\sysbmw.exe
%System%\sys_ini.ini

防護措施：

1.少去不安全站點，對通過MSN，QQ，以及郵件發來的不明鏈接，不要去點擊

2.注意微軟發布該漏洞補丁程序的信息，發布后，請第一時間下載安裝

3.升級殺毒軟件，目前金山毒霸已經升級提供了針對ANI漏洞本身和艾妮蠕蟲病毒的免疫程序，可有效阻止上網時被此類病毒感染。

附：如何應對ANI漏洞帶來的病毒危機？

上周，金山反病毒中心發現部分網站利用Windows動畫光標（ANI）文件漏洞傳播木馬，這些木馬通常以盜號為目的。微軟尚未就此漏洞發布補丁程序，同時，互聯網已經出現利用該漏洞的網頁木馬生成器。

不久，首個利用該漏洞傳播的蠕蟲病毒——艾妮（Worm.MyInfect.af）出現，該病毒集熊貓燒香、維金兩大病毒的特點于一身，是一個傳播性與破壞性極強的蠕蟲，不但能瘋狂感染用戶電腦中的.exe文件，還會下載其它木馬和病毒程序，病毒通過局域網傳播可能導致內網大面積癱瘓。更為嚴重的是，利用微軟動畫光標（ANI）漏洞傳播，使得包括在安全性上煞廢苦心的Vista系統也無法幸免，用戶只要瀏覽帶有惡意代碼的Web網頁或電子郵件將立刻感染該病毒。金山反病毒中心針對該漏洞的危險性，已緊急提供免疫程序。據最新統計結果表明，僅1天時間，該免疫器就成功阻止了超過3萬次攻擊事件發生。

漏洞表現：

訪問帶毒網頁時，會感覺IE窗口顯示有點慢，有時IE窗口會失去響應，部分殺毒軟件會報告發現木馬或病毒。但這種現象可能只會被少數用戶所關注，多數用戶感覺不明顯。

受此漏洞影響的操作系統：

Windows 2000
Windows XP 32/64
Windows 2003 32/64
Windows Vista 32/64

受此影響的瀏覽器：

IE6、IE7、Firefox、Opera

受此影響的其它應用軟件：

QQ、MSN、電子郵件客戶端、AcdSee、RSS閱讀器

清除方法：

因為利用該漏洞傳播的木馬、病毒非常多，并且“艾妮”蠕蟲同時會感染可執行程序，手工查殺更加困難。同樣，因為此類病毒較多，金山反病毒中心不會提供針對此漏洞的專殺工具。建議用戶安裝金山毒霸，并立即升級到最新病毒庫，以清除已知利用該漏洞傳播的病毒、木馬程序。企業用戶一旦在內網發現“艾妮”病毒，應立即進行全網查殺。金山毒霸在4月3日的緊急更新中還提供了針對“艾妮”類蠕蟲病毒的免疫功能，可阻止此類蠕蟲病毒通過其它途徑大量傳播。

ANI漏洞免疫是如何實現的?

ANI漏洞免疫功能：在有害ANI文件下載到本地時立即進行攔截，根本不給IE瀏覽器加載ANI文件的機會，從而避免了利用ANI漏洞的攻擊。

艾妮病毒的免疫功能：是毒霸專門為“艾妮”類蠕蟲病毒制作的免疫程序，因為艾妮病毒具備和熊貓燒香類似的傳播特點，啟動毒霸的這個免疫功能后，可以阻止“艾妮”類蠕蟲病毒利用其它途徑大量傳播。

防范措施：

1.因微軟公司尚未發布針對此漏洞的補丁程序，建議用戶立即安裝殺毒軟件并升級到最新，以降低安全風險。

2.金山毒霸單機版、企業版客戶端已經集成針對動畫光標（ANI）漏洞的免疫功能，升級后，即可阻止下載利用該漏洞傳播的木馬、病毒程序。

3.目前，該漏洞幾乎影響所有的互聯網瀏覽器，瀏覽不安全的網就會中毒，目前，已經發現有部分大網站也被植入含有動畫光標漏洞的特殊ANI文件。提醒廣大網民朋友，不要輕易點擊通過QQ、MSN、電子郵件等發送的網頁鏈接。

4.提醒網頁編輯朋友，立即使用殺毒軟件檢查本地網頁文件，清除因“艾妮”病毒的感染破壞導致網頁中嵌入病毒代碼，防止其它網民上網瀏覽帶毒的網頁而反復中毒。