关于Hack.SuspiciousAni的简要解释（4月24日补充）

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛关于Hack.SuspiciousAni的简要解释（4月24日补充）

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3 4 5 6 7 8 »

1 / 14 页

跳转页

关于Hack.SuspiciousAni的简要解释（4月24日补充）

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2007-04-10 20:18 \| 只看楼主短消息资料字号：小中大 1楼关于Hack.SuspiciousAni的简要解释（4月24日补充）近段时间，看到社区上不少会员因此而不知所措，不得不简要说明一下。希望以后再因此求助的会员，会自己动手搜索一下，看到这个帖子，也就不用再惊慌了。所谓Hack.SuspiciousAni，其实就是利用微软MS07-017中的动态光标处理漏洞的畸形ANI文件，一般由被挂马的网页的相关恶意代码下载。该漏洞存在于系统关键文件user32.dll中。当用户进入带有相关恶意代码的网页时，浏览器将会把这种畸形ANI文件下载到本机临时文件夹中，并依照网页脚本执行，将其设置为浏览此页面时鼠标的光标图案。如果这整个过程完成，则对于没有打上MS07-017补丁的电脑，此漏洞将被触发，黑客将可远程执行任意代码（一般是下载木马）。针对此情况，瑞星把这种畸形ANI文件列入查杀范围，命名Hack.SuspiciousAni。有了瑞星监控的电脑上，当用户的浏览器打开带有相关恶意代码的网页，将畸形ANI文件下载到本机临时文件夹中时，瑞星文件监控和（或）网页监控将报警，提示发现Hack.SuspiciousAni。如果该文件在被下载到临时文件夹时即被瑞星查出，一般处理结果为“清除成功”，而如果该文件在被浏览器调用过程中被发现，瑞星一般将跳过相关代码并提示用户必须“重启电脑后删除文件”。无论是哪种情况，此畸形ANI文件都将不起作用，也就不会下载真正的病毒木马了。然而有时就因为“重启后删除”这个提示，有可能会令不明就理的用户们十分紧张。因为他们会发现，重启后再扫描时，瑞星仍然会提示…… 其实如果仅仅就这个“病毒”本身而言，处理方法非常简单：关闭浏览器，然后清空IE临时文件夹。但是，如果浏览任何网页都会出现此报毒提示，那么真正的根源就不在Hack.SuspiciousAni本身了，详情请看下面的补充说明。另外，由于MS07-017漏洞目前被黑客在网页挂马上利用得比较频繁，强烈建议用户到windows update上打上相关补丁，补丁详情可参考http://forum.ikaka.com/topic.asp?board=28&artid=8292648或直接参考http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx 4月24日补充：这个帖子出来之后，又发现新情况：某些病毒（如http://forum.ikaka.com/topic.asp?board=28&artid=8302447中所述的病毒），利用ARP欺骗等手段，在用户收到的网络数据包中自动插入iframe代码，代码指向利用MS07-017漏洞的网址。使得中毒用户，以及局域网中受到此中毒电脑的欺骗攻击的用户，在上任意网站的时候，均会出现Hack.SuspiciousAni的报警。如果用户上任意网站时都会出现Hack.SuspiciousAni的报警，即可能属于这种情况，必须采取的措施： 1.无论如何先把补丁打上。 2.查实是自己的电脑中了毒，还是别人的电脑中毒后攻击自己。如果是自己的电脑中了毒，应及时处理；如果是别人的电脑中毒后攻击自己，应联系相关网管人员协调处理。对于此类情况，用户要有清醒的头脑，因为这类情况下，Hack.SuspiciousAni只不过是一种“表现”，而绝不是病毒的实质，死盯着Hack.SuspiciousAni这个病毒名是没有意义的。如果还不明白，再举一例：威金病毒会下载“落雪”木马。如果杀毒软件对“落雪”木马报毒并清除，但是却没有查到或杀不净威金病毒，那么，“落雪”木马仍然会被一次又一次地下载下来。于是就造成了用户“落雪木马杀不死”的错觉。这种状况，对于落雪木马本身来说，的确是“重复中毒”。只不过，如何找到根由，杜绝“重复中毒”，相对于落雪木马本身的查杀来说，就又是另外一个问题了。如何处理Hack.SuspiciousAni，是一码事，如何处理自动导致连接恶意这种网页的病毒，又是另一码事。就像下载器和被下载的木马，其功能和原理都是“可分”的。所以请绝对不要把两者混淆在一起。其他解释，请参考http://forum.ikaka.com/topic.asp?board=28&artid=8302368第12楼的有关回复（声明，不接受该楼主的所谓BS，因为你没有权利BS任何人。还是mopery的那句话“我们这群人，做了这么多，得到的是什么……中毒的，带着“心”来求助，否则免谈！”） 2007-10-17 23:24:37.857000000
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	分享到：

＊蓝宝宝＊初生襁褓狮帖子:31 注册: 2007-04-08 来自:	发表于： 2007-04-10 20:22 \| 短消息资料字号：小中大 2楼清空IE临时文件夹就可以解决了吗？如果再次打开相同网站也不会感染了？回复：首先，其实不能称为“感染”，因为如果这个畸形ANI文件被瑞星拦截而乖乖地“躺”在IE临时文件夹里，是完全不会对系统产生实质性危害的。其次，那个网站既然被黑客挂了恶意代码，如果打开时瑞星不报警，那才是瑞星的“失职”。既然知道了打开的网站是被挂了恶意代码，在恶意代码被清除之前，当然应该避免再上这个网站了。很多会员之所以“恐慌”，这也是个重要原因。第一次进，瑞星报警杀了，没有再注意，第二次进，瑞星再次报警杀了，于是就紧张起来了。“瑞星杀不掉它？！”这属于理解错误。这种情况不是“中了杀不掉”，而是“杀掉了，你又去中”，属于“重复中毒”，而不属于“顽固型病毒”。
＊蓝宝宝＊初生襁褓狮帖子:31 注册: 2007-04-08 来自:

＊蓝宝宝＊初生襁褓狮帖子:31 注册: 2007-04-08 来自:	发表于： 2007-04-10 20:36 \| 短消息资料字号：小中大 3楼谢谢斑竹的解答！！！其实在上贴中确切的说应该是程序，不是网站还有个问题就是为什么同样是这个游戏（就是联众世界），家里的台式机就没事，笔记本一上就提示病毒？补丁也都打了。。。会不会是笔记本的EXE文件被感染了？卸了重装是不是就没事了？告诉我吧。。
＊蓝宝宝＊初生襁褓狮帖子:31 注册: 2007-04-08 来自:

＊蓝宝宝＊初生襁褓狮帖子:31 注册: 2007-04-08 来自:	发表于： 2007-04-10 21:03 \| 短消息资料字号：小中大 4楼同上~~~ 给我解答吧，这个快把我逼疯了，每次看见瑞星提示这个病毒我就想哭
＊蓝宝宝＊初生襁褓狮帖子:31 注册: 2007-04-08 来自:

Hookdll 初生襁褓狮帖子:8 注册: 2007-04-10 来自:	发表于： 2007-04-10 21:49 \| 短消息资料字号：小中大 5楼谢谢斑斑的解救，已经打了相应的补丁了~帮斑竹顶起来希望众多难兄难弟能看见，早日脱离苦海.
Hookdll 初生襁褓狮帖子:8 注册: 2007-04-10 来自:

强壮不惑狮

帖子:1166
注册: 2006-07-15
来自:

发表于： 2007-04-10 22:00 | 短消息资料

字号：小中大 6楼

引用:

【＊蓝宝宝＊的贴子】谢谢斑竹的解答！！！
其实在上贴中确切的说应该是程序，不是网站
还有个问题就是为什么同样是这个游戏（就是联众世界），家里的台式机就没事，笔记本一上就提示病毒？补丁也都打了。。。会不会是笔记本的EXE文件被感染了？卸了重装是不是就没事了？告诉我吧。。
………………

可能你的笔记本本身就已经中毒了。。

火影忍者横据古稀狮帖子:7855 注册: 2006-06-29 来自:火星	发表于： 2007-04-10 22:18 \| 短消息资料字号：小中大 7楼呵...顶下... 确实不少人碰到了这样的麻烦....
火影忍者横据古稀狮帖子:7855 注册: 2006-06-29 来自:火星

暗夜子羽初生襁褓狮帖子:5 注册: 2007-04-11 来自:	发表于： 2007-04-11 14:47 \| 短消息资料字号：小中大 8楼怎么打了补丁还是会中毒啊,自从前两天中了这个病毒都杀不了毒,一开机就会中毒
暗夜子羽初生襁褓狮帖子:5 注册: 2007-04-11 来自:

＊蓝宝宝＊初生襁褓狮帖子:31 注册: 2007-04-08 来自:	发表于： 2007-04-11 20:03 \| 短消息资料字号：小中大 9楼我也是，打了补丁还是中毒，为什么啊？？？
＊蓝宝宝＊初生襁褓狮帖子:31 注册: 2007-04-08 来自:

社区嘉宾

帖子:15158
注册: 2005-08-03
来自:

发表于： 2007-04-11 20:47 | 短消息资料

字号：小中大 10楼

引用:

【＊蓝宝宝＊的贴子】我也是，打了补丁还是中毒，为什么啊？？？
………………

就好比你们家为了防止偷盗安装了防盗门那么小偷肯定是进不来了但不能保证它不试图闯入懂么？
打了补丁以后你上了那些挂有利用ani漏洞的网页时候那个畸形的ani照样会下载到你的电脑里不过此时只是在临时文件夹内但这个东西完全不会对你的系统造成损害因为你打了那个补丁可以防止那个东西对系统的攻击而此时瑞星出于职责是肯定不会坐视不管的照样会报警

<<上一主题|下一主题>>

12 3 4 5 6 7 8 »

1 / 14 页

跳转页

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2007-04-10 20:18 \| 只看楼主短消息资料字号：小中大 1楼关于Hack.SuspiciousAni的简要解释（4月24日补充）近段时间，看到社区上不少会员因此而不知所措，不得不简要说明一下。希望以后再因此求助的会员，会自己动手搜索一下，看到这个帖子，也就不用再惊慌了。所谓Hack.SuspiciousAni，其实就是利用微软MS07-017中的动态光标处理漏洞的畸形ANI文件，一般由被挂马的网页的相关恶意代码下载。该漏洞存在于系统关键文件user32.dll中。当用户进入带有相关恶意代码的网页时，浏览器将会把这种畸形ANI文件下载到本机临时文件夹中，并依照网页脚本执行，将其设置为浏览此页面时鼠标的光标图案。如果这整个过程完成，则对于没有打上MS07-017补丁的电脑，此漏洞将被触发，黑客将可远程执行任意代码（一般是下载木马）。针对此情况，瑞星把这种畸形ANI文件列入查杀范围，命名Hack.SuspiciousAni。有了瑞星监控的电脑上，当用户的浏览器打开带有相关恶意代码的网页，将畸形ANI文件下载到本机临时文件夹中时，瑞星文件监控和（或）网页监控将报警，提示发现Hack.SuspiciousAni。如果该文件在被下载到临时文件夹时即被瑞星查出，一般处理结果为“清除成功”，而如果该文件在被浏览器调用过程中被发现，瑞星一般将跳过相关代码并提示用户必须“重启电脑后删除文件”。无论是哪种情况，此畸形ANI文件都将不起作用，也就不会下载真正的病毒木马了。然而有时就因为“重启后删除”这个提示，有可能会令不明就理的用户们十分紧张。因为他们会发现，重启后再扫描时，瑞星仍然会提示…… 其实如果仅仅就这个“病毒”本身而言，处理方法非常简单：关闭浏览器，然后清空IE临时文件夹。但是，如果浏览任何网页都会出现此报毒提示，那么真正的根源就不在Hack.SuspiciousAni本身了，详情请看下面的补充说明。另外，由于MS07-017漏洞目前被黑客在网页挂马上利用得比较频繁，强烈建议用户到windows update上打上相关补丁，补丁详情可参考http://forum.ikaka.com/topic.asp?board=28&artid=8292648或直接参考http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx 4月24日补充：这个帖子出来之后，又发现新情况：某些病毒（如http://forum.ikaka.com/topic.asp?board=28&artid=8302447中所述的病毒），利用ARP欺骗等手段，在用户收到的网络数据包中自动插入iframe代码，代码指向利用MS07-017漏洞的网址。使得中毒用户，以及局域网中受到此中毒电脑的欺骗攻击的用户，在上任意网站的时候，均会出现Hack.SuspiciousAni的报警。如果用户上任意网站时都会出现Hack.SuspiciousAni的报警，即可能属于这种情况，必须采取的措施： 1.无论如何先把补丁打上。 2.查实是自己的电脑中了毒，还是别人的电脑中毒后攻击自己。如果是自己的电脑中了毒，应及时处理；如果是别人的电脑中毒后攻击自己，应联系相关网管人员协调处理。对于此类情况，用户要有清醒的头脑，因为这类情况下，Hack.SuspiciousAni只不过是一种“表现”，而绝不是病毒的实质，死盯着Hack.SuspiciousAni这个病毒名是没有意义的。如果还不明白，再举一例：威金病毒会下载“落雪”木马。如果杀毒软件对“落雪”木马报毒并清除，但是却没有查到或杀不净威金病毒，那么，“落雪”木马仍然会被一次又一次地下载下来。于是就造成了用户“落雪木马杀不死”的错觉。这种状况，对于落雪木马本身来说，的确是“重复中毒”。只不过，如何找到根由，杜绝“重复中毒”，相对于落雪木马本身的查杀来说，就又是另外一个问题了。如何处理Hack.SuspiciousAni，是一码事，如何处理自动导致连接恶意这种网页的病毒，又是另一码事。就像下载器和被下载的木马，其功能和原理都是“可分”的。所以请绝对不要把两者混淆在一起。其他解释，请参考http://forum.ikaka.com/topic.asp?board=28&artid=8302368第12楼的有关回复（声明，不接受该楼主的所谓BS，因为你没有权利BS任何人。还是mopery的那句话“我们这群人，做了这么多，得到的是什么……中毒的，带着“心”来求助，否则免谈！”） 2007-10-17 23:24:37.857000000
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于Hack.SuspiciousAni的简要解释（4月24日补充）

关于Hack.SuspiciousAni的简要解释（4月24日补充）

关于Hack.SuspiciousAni的简要解释（4月24日补充）

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛关于Hack.SuspiciousAni的简要解释（4月24日补充）