关于Hack.SuspiciousAni的简要解释

<P>所谓Hack.SuspiciousAni，其实就是利用微软MS07-017中的动态光标处理漏洞的畸形ANI文件，一般由被挂马的网页的相关恶意代码下载。<BR>该漏洞存在于系统关键文件user32.dll中。当用户进入带有相关恶意代码的网页时，浏览器将会把这种畸形ANI文件下载到本机临时文件夹中，并依照网页脚本执行，将其设置为浏览此页面时鼠标的光标图案。如果这整个过程完成，则对于没有打上MS07-017补丁的电脑，此漏洞将被触发，黑客将可远程执行任意代码（一般是下载木马）。<BR><BR>针对此情况，瑞星把这种畸形ANI文件列入查杀范围，命名Hack.SuspiciousAni。<BR><BR>有了瑞星监控的电脑上，当用户的浏览器打开带有相关恶意代码的网页，将畸形ANI文件下载到本机临时文件夹中时，瑞星文件监控和（或）网页监控将报警，提示发现Hack.SuspiciousAni。如果该文件在被下载到临时文件夹时即被瑞星查出，一般处理结果为“清除成功”，而如果该文件在被浏览器调用过程中被发现，瑞星一般将跳过相关代码并提示用户必须“重启电脑后删除文件”。无论是哪种情况，此畸形ANI文件都将不起作用，也就不会下载真正的病毒木马了。<BR><BR>然而有时就因为“重启后删除”这个提示，有可能会令不明就理的用户们十分紧张。因为他们会发现，重启后再扫描时，瑞星仍然会提示……<BR><BR>另外，由于MS07-017漏洞目前被黑客在网页挂马上利用得比较频繁，某些病毒（如<A target=_blank href="http://forum.ikaka.com/topic.asp?board=28&amp;artid=8302447">http://forum.ikaka.com/topic.asp?board=28&amp;artid=8302447</A>中所述的病毒），利用ARP欺骗等手段，在用户收到的网络数据包中自动插入iframe代码，代码指向利用MS07-017漏洞的网址。使得中毒用户，以及局域网中受到此中毒电脑的欺骗攻击的用户，在上任意网站的时候，均会出现Hack.SuspiciousAni的报警。</P><P>如果用户上任意网站时都会出现Hack.SuspiciousAni的报警，即可能属于这种情况，必须采取的措施：<BR><FONT face=Verdana>1、将操作系统的补丁打全，尤其是微软的MS07-017补丁。<BR>2、关闭全部浏览器，然后清空IE临时文件夹。<BR>清空IE临时文件夹方法：打开IE浏览器，在菜单中选择【工具】－【Internet选项】，在“常规”选项卡中，点击“删除文件按钮”，当弹出“删除文件”对话框，请勾选“删除所有脱机内容”，并点击“确定”按钮。</FONT><BR>2.查实是自己的电脑中了毒，还是别人的电脑中毒后攻击自己。<BR>如果是自己的电脑中了毒，应及时处理；如果是别人的电脑中毒后攻击自己，应联系相关网管人员协调处理。</P><P><FONT face=Verdana>微软MS07-017补丁链接：<BR></FONT><A target=_blank href="http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx"><FONT face=Verdana>http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx</FONT></A></P><P><BR>&nbsp;</P>