“熊猫烧香”病毒风波刚平，近日微软就公布了一个ANI高危系统漏洞，其危害波及范围与熊猫烧香相比有过之而不及。鉴于目前ANI漏洞的介绍文章很多都不太全面，所以特别整理了一下有关ANI的产生、触发、危害以及相应的解决办法，以协助各位网管以及普通用户应对这场漏洞危机。

什么是ANI漏洞？

　　ANI漏洞究竟是什么漏洞呢？黑客如何利用该漏洞对用户的电脑进行攻击的呢？
　　其实ANI是Windows用于控制鼠标的一种系统文件，它能将多个普通的光标文件组成一个动画，从而在屏幕上显示出动态光标。
　　但是在处理一些头部有问题的ANI文件时，处理程序会发生溢出错误，从而导致系统计算出错误的光标地址，并对该地址进行访问，从而执行黑客或病毒编写者所希户执行的任意代码，从而在用户电脑中植入木马或是造成各种破坏、造成文件损坏、系统内核心崩溃或计算机蓝屏。
　　另外ANI文件的头处还会标记每个空白图标切换的频率，该值越小表明空白图标切换的频率越快，WINDOWS 系统内核在切换空白图标的时候也并未对该值进行任何的检查，一旦该标记频率数字被设置为0，WINDOWS的内核会陷入内核的死锁状态，此时系统将不再响应用户的任何界面的操作。

ANI漏洞攻击的主要来源及危害

　　或许许多人认为只要不打开邮件或下载试用不明的程序就不会中毒，但是这种对常规病毒入侵颇为有效的方法，在ANI漏洞入侵前却完全无效。为什么呢？这是因为，Windows系统在处理ANI文件的时候存在着上述致命的漏洞，黑客只要让你的电脑播放经过特殊的光标文件，即可让你的电脑“中招”。其中比较常见的招数是将编写出的特殊ANI文件，放在网页上，或者是用电脑邮件进行传播，一旦用户访问带有特殊ANI文件的网页或浏览电子邮件，用户的电脑即被入侵、攻击，然后自动下载黑客指定的各种木马、后门或是病毒软件。黑客从而可以任意窃取用户游戏、银行、QQ帐号密码等目的，甚至安装远程控制软件，将用户的电脑变成为“肉鸡”，以便作为攻击其他人的跳板。
　　另一方面黑客在发布这个漏洞时机选择得比较巧妙，选在微软刚推出MS07-016补丁之后不久发布，所以在新补丁发布前会有一个空白期，为该漏洞制作的病毒取得一小段短暂的传播黄金时期，从而造成了巨大危害。
　　正因为功能强、防护薄弱，制造ANI蠕虫病毒的黑客比其他蠕虫的作者更为嚣张和肆无忌惮，病毒监控中心在短短的一天内监侧出5个变种的ANI蠕虫病毒，甚至病毒开发者直接在病毒中留言道：“I will by one BMW this year!（我想在今年买一辆宝马）”，可见其经济目的是非常明显的。在第一个ANI蠕虫病毒变种中，黑客还加入了："Hello Rui Xing an kapersky!I don't want to destroy any computers, I don't destroy any documents, I don't infect system files.Don't Kill me!! xV4（你好，瑞星和卡巴斯基！我不想破坏任何电脑、任何文档和感染系统文件。不要杀我！！）"的留言，试图与杀毒软件直接进行对话。由此可以见黑客对ANI漏洞攻击的信心和获取利益的野心。

图1 ANI病毒源代码

安装ANI漏洞补丁补救

　　由于ANI漏洞是刚刚被发现的系统漏洞，因此大多数用户只能处于被动防护的状态，在事态严重发展的压力下，微软以4月4日凌晨发布了紧急补丁（KB925902）（官方下载地址：http://www.microsoft.com/downloads/details.aspx?FamilyID=f82ea184-945f-4b78-9463-10ac20a75020&DisplayLang=zh-cn），然而遗憾的是该补丁虽然把ANI漏洞拒绝以大门外，但是却惹来了一些其他麻烦事。许多客户报告，安装补丁后直接影响了杀毒软件的安装及执行、更有一些用户连系统也无法启动，另一些用户则反映安装KB925902补丁之后AVG、Realtec、F-Secure等公司的安全软件出现兼容性错误、Vaio笔记本系统发生混乱，USB不能正常使用等古怪问题。

图2 KB925902补丁

　　随后为了解决安装KB925902补丁后出现的各种问题，微软又再发布一个补丁，它就是KB935448（官方下载地址：http://www.microsoft.com/downloads/details.aspx?FamilyID=74ad4188-3131-429c-8fcb-f7b3b0fd3d86&DisplayLang=zh-cn）补丁，它的主要作用是解决KB925902补丁安装之后系统系统出现的各种问题，如Realtek HD 音频控制面板无法启动、系统混乱等问题。
　　因此假如各位网管与用户使用打补丁的方式预入ANI漏洞入侵，那么在下载KB925902补丁的同时，务必要下载KB935448补丁。然后依次安装，即可避免安装KB925902补丁给用户带来不必要的麻烦。需要注意的是，用户安装完成KB925902补丁之后，系统会要求重新启动，这时为了确保万无一失，请安装上KB935448补丁再重新启动系统。

第三方杀毒厂商补救措施

　　与微软略为迟钝的反应速度相反，迫于竞争的需要，很多的杀毒软件开发商都迅速的开发出了防护的软件，国内市场上江民、金山、安全卫士出炉了相关的ANI漏洞和ANI攻击或是防护软件。
　　对于偏爱江民反病毒产品的用户，可以下载江民的ANI专杀工具。它的网址为：http://download.jiangmin.info/jmsoft/ANIWormKiller.exe。
　　金山产品的用户可在金山毒霸杀毒软件官方网站上下载最新的杀毒软件（官方网站网址：http://www.duba.net/db2007/down.shtml#001）

图3 金山毒霸ANI漏洞提示

　　下载完成之后，安装金山毒霸，并更新到最新的病毒库。
　　运行金山网标进行防护，并运行金山毒霸进行杀毒，即可查杀此病毒。
　　此外，使用安全卫士360也可以对付此蠕虫。扫描到系统存在的漏洞，并直接通过安全卫士360提供的连接下载并安装ANI补丁。
在基本状态中单击“系统全面诊断”超链接，在修复 “系统漏洞”选项卡中单击“扫描”按钮，扫描系统漏洞。

图 4 系统漏洞扫描

　　勾选要打补丁的项目，单击“下载并修复”按钮。

图 5 下载安装补丁

　　如果确保电脑已经安装了ANI补丁，并且做好各种防护工作，在加上访问网站或是收发电子邮件的同时多上一份谨慎的心，那么在ANI蠕虫横行之时，它也不会对你的电脑造成威胁。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护: