Hack.SuspiciousAni

Hack.SuspiciousAni

關於Hack.SuspiciousAni的簡要解釋 所謂Hack.SuspiciousAni,其實就是利用微軟MS07-017中的動態游標處理漏洞的畸形ANI檔案,一般由被掛馬的網頁的相關惡意代碼下載。

關於Hack.SuspiciousAni的簡要解釋
所謂Hack.SuspiciousAni,其實就是利用微軟MS07-017中的動態游標處理漏洞的畸形ANI檔案,一般由被掛馬的網頁的相關惡意代碼下載。
該 漏洞存在於系統關鍵檔案user32.dll中。當用戶進入帶有相關惡意代碼的網頁時,瀏覽器將會把這種畸形ANI檔案下載到本機臨時資料夾中,並依照網 頁腳本執行,將其設定為瀏覽此頁面時滑鼠的游標圖案。如果這整個過程完成,則對於沒有打上MS07-017補丁的電腦,此漏洞將被觸發,黑客將可遠程執行 任意代碼(一般是下載木馬)。
針對此情況,瑞星把這種畸形ANI檔案列入查殺範圍,命名Hack.SuspiciousAni。
有 了瑞星監控的電腦上,當用戶的瀏覽器打開帶有相關惡意代碼的網頁,將畸形ANI檔案下載到本機臨時資料夾中時,瑞星檔案監控和(或)網頁監控將報警,提示 發現Hack.SuspiciousAni。如果該檔案在被下載到臨時資料夾時即被瑞星查出,一般處理結果為“清除成功”,而如果該檔案在被瀏覽器調用過 程中被發現,瑞星一般將跳過相關代碼並提示用戶必須“重啟電腦後刪除檔案”。無論是哪種情況,此畸形ANI檔案都將不起作用,也就不會下載真正的病毒木馬 了。
然而有時就因為“重啟後刪除”這個提示,有可能會令不明就理的用戶們十分緊張。因為他們會發現,重啟後再掃描時,瑞星仍然會提示……
其實如果僅僅就這個“病毒”本身而言,處理方法非常簡單:
關閉瀏覽器,然後清空IE臨時資料夾。
但是,如果瀏覽任何網頁都會出現此報毒提示,那么真正的根源就不在Hack.SuspiciousAni本身了,詳情請看下面的補充說明。
另 外,由於MS07-017漏洞目前被黑客在網頁掛馬上利用得比較頻繁,強烈建議用戶到windows update上打上相關補丁,補丁詳情可參考http://forum.ikaka.com/topic.asp?board=28&;artid =8292648或直接參考http://www.microsoft.com/technet/security/bulletin/ms07- 017.mspx
4月24日補充:
這個帖子出來之後,又發現新情況:
某些病毒(如http: //forum.ikaka.com/topic.asp?board=28&artid=8302447中所述的病毒),利用ARP欺騙等手 段,在用戶收到的網路數據包中自動插入iframe代碼,代碼指向利用MS07-017漏洞的網址。使得中毒用戶,以及區域網路中受到此中毒電腦的欺騙攻擊 的用戶,在上任意網站的時候,均會出現Hack.SuspiciousAni的報警。
如果用戶上任意網站時都會出現Hack.SuspiciousAni的報警,即可能屬於這種情況,必須採取的措施:
1.無論如何先把補丁打上。
2.查實是自己的電腦中了毒,還是別人的電腦中毒後攻擊自己。
如果是自己的電腦中了毒,應及時處理;如果是別人的電腦中毒後攻擊自己,應聯繫相關網管人員協調處理。
對於此類情況,用戶要有清醒的頭腦,因為這類情況下,Hack.SuspiciousAni只不過是一種“表現”,而絕不是病毒的實質,死盯著Hack.SuspiciousAni這個病毒名是沒有意義的。
如果還不明白,再舉一例:
威 金病毒會下載“落雪”木馬。如果防毒軟體對“落雪”木馬報毒並清除,但是卻沒有查到或殺不淨威金病毒,那么,“落雪”木馬仍然會被一次又一次地下載下來。 於是就造成了用戶“落雪木馬殺不死”的錯覺。這種狀況,對於落雪木馬本身來說,的確是“重複中毒”。只不過,如何找到根由,杜絕“重複中毒”,相對於落雪 木馬本身的查殺來說,就又是另外一個問題了。
如何處理Hack.SuspiciousAni,是一碼事,如何處理自動導致連線惡意這種網頁的病毒,又是另一碼事。就像下載器和被下載的木馬,其功能和原理都是“可分”的。所以請絕對不要把兩者混淆在一起。
知識庫編號: RSV0706695
內容分類: 木馬病毒
原理:
Hack.SuspiciousAni是指利用微軟MS07-017漏洞的畸形ANI檔案。由於作業系統沒有安裝微軟MS07-017補丁,所以用戶在上網時,會被一些網頁中的惡意代碼,或者某些病毒採用的特殊手段強行寫入這些畸形ANI檔案,此時就會出現瑞星監控提示發現Hack.SuspiciousAni病毒的情況。
解決方法:
1、將作業系統的補丁打全,尤其是微軟的MS07-017補丁。
2、關閉全部瀏覽器,然後清空IE臨時資料夾。
清空IE臨時資料夾方法:打開IE瀏覽器,在選單中選擇【工具】-【Internet選項】,在“常規”選項卡中,點擊“刪除檔案按鈕”,當彈出“刪除檔案”對話框,請勾選“刪除所有脫機內容”,並點擊“確定”按鈕。
微軟MS07-017補丁連結:
http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx

相關詞條

相關搜尋

熱門詞條

聯絡我們