在安全性上被寄予很大希望的Vista操作系統，近日爆出首個重大漏洞。2007年3月29日，國內安全廠家發現該漏洞已經開始被黑客利用，使用Windows Vista和XP的用戶，在訪問帶毒網站時會被威金病毒、盜號木馬等多種病毒感染。據監測，國內已有近十個網站被黑客攻陷。
此漏洞影響Windows XP以上操作系統和IE6以上的瀏覽器，微軟最新的Vista和IE7都不能幸免，目前微軟還沒有發布此漏洞的補丁。ANI文件是Windows鼠標動態光標文件，由于Vista等系統在處理ANI文件的方式上存在漏洞，黑客可以構造特殊格式的ANI文件，當用戶瀏覽含有該文件的網頁，或點擊該文件就會自動下載運行黑客指定的病毒、木馬及后門程序等。目前利用該漏洞的病毒中，威金（Worm.Viking）變種及竊取網絡游戲的木馬病毒占多數。
現象描述：
“光標漏洞”蠕蟲的大小為13K左右，病毒運行后，會復制自身到下面目錄：%SysDir%\sysload3.exe
并添加注冊表鍵值：
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"System Boot Check"="%SysDir%\sysload3.exe"
這樣，病毒就可以隨Windows系統啟動自動運行。
病毒會感染本地磁盤和網絡共享目錄的正常可執行程序。并感染本地磁盤和網絡共享目錄的多種類型（.HTML .ASPX .HTM .PHP .JSP .ASP）網頁文件，植入利用ANI文件處理漏洞的惡意代碼。
“光標漏洞”病毒除了具備“熊貓燒香”所有的傳播特征外，還可以通過電子郵件傳播，病毒郵件特征如下：
發件人： i_love_cq@sohu.com主題：你和誰視頻的時候被拍下的？給你笑死了！正文：看你那小樣！我看你是出名了！你看這個地址！你的臉拍的那么清楚！你變明星了！http://macr.microfsot.com//134952.htm
病毒還會復制自身到各邏輯磁盤盤根目錄下，并創建autorun.inf自動播放配置文件。雙擊盤符即可激活病毒，造成再次感染。這點與“熊貓燒香”通過U盤激活自身從而“死灰復燃”的特征如出一轍。
“光標漏洞”還會修改系統hosts文件，屏蔽多個網址。這些網址大多是以前用來傳播其他病毒的站點。
專家建議：
目前“光標漏洞”蠕蟲已經產生了5個變種，在微軟推出相應安全補丁之前，針對該病毒及其變種，51CTO安全頻道建議廣大計算機用戶采取如下措施減輕安全威脅：
1、提高自身的網絡安全意識，不要登陸一些不知名的小網站；
2、在打開陌生郵件以及IM聊天工具中傳送的網絡鏈接前，一定要開啟殺毒軟件的防火墻、實時監控等功能；
3、以文本方式而不是HTML方式打開郵件。這可以避免被入侵者通過發送郵件的方式進行攻擊。
4、和以往的很多漏洞不同，這個漏洞也可能影響FireFox和Opera等瀏覽器。使用這些第三方瀏覽器可以降低被攻擊的可能，但并不能絕對避免攻擊。所以建議在微軟發布安全補丁之前，盡可能減少使用任何瀏覽器訪問網站。即使是那些合法的站點也可能因為被入侵而插入惡意代碼。在必須訪問的時候，應盡可能使用FireFox或Opera等瀏覽器。
5、打開資源瀏覽器的“工具->文件夾選項”菜單，在“Web 視圖”中選擇“使用Windows 傳統風格的文件夾”。這個配置可以避免在資源瀏覽器中打開包含惡意動畫光標文件而導致的危害。
6、如果您的操作系統是Windows XP/2003/Vista，請參考下面這個鏈接，將DEP配置為“為除下列選定程序之外的所有程序和服務啟用 DEP”：
http://www.microsoft.com/china/technet/security/prodtech
/windowsxp/depcnfxp.mspx。
51CTO安全頻道提示：雖然以上的措施不能消除漏洞，但是可以大大降低因為該漏洞而被入侵的風險。