趋势科技(纳斯达克代码:TMIC;东京证交所代码:4704)今天(4月3日)发布中国中度风险病毒警报,木马病毒“艾妮”(TROJ_ANICMOO.AX)正在中国地区传播,并且正在迅速的扩散中。趋势科技已经收到多个来自国内大中型企业用户和个人用户的感染报告。 木马病毒TROJ_ANICMOO.AX利用Windows动画光标缺陷(Vulnerability in Windows Animated Cursor Handling)发动零时差攻击。使用者只要点选相关恶意链接就会遭受窃取密码账号等机密数据的木马攻击,但也有可能因为访问了遭受植入恶意程序的网站,而被暗中下毒。目前国内有多家知名企业的官方网站遭植入该病毒,其中包含知名医院、电视台、大学、政府机构、汽车、相机厂商、旅行社等官方网站,使用者只要浏览这些被暗中下毒的网站,就会利用弱点,植入动画光标animated cursor (.ANI)的病毒文件,不过该执行文件扩展名伪装为图片文件.jpg,借以躲避侦测。趋势科技中国区技术总监蔡昇钦表示目前疫情有扩大迹象,趋势科技全线产品皆可侦测及清除该病毒,建议用户立刻更新最新病毒码4.383.00。
微软在3月31日公布这个漏洞(相关漏洞信息:Security Advisory 935423),目前尚无修正程序。蔡昇钦呼吁大家在上网浏览时要当心进入这些高度危险的网站而不自知,因为这些知名的网站,外表与正常的网站并无异状,甚至那些被暗中背景植入恶意程序的网站也可能不知已成为木马散播中转站。趋势科技表示该木马会联机至 32 个网站下载更多的恶意程序。
根据趋势科技的观察,过去一天当中已有数十个网站遭入侵。趋势科技技术总监蔡昇钦表示,建议在完成微软补丁更新前,将存放病毒档案的网站链接作封锁,并透过趋势科技病毒爆发防范的功能,将病毒文件拦截,以降低中毒感染的风险。另外因为这只病毒会透过HTTP入侵,因此建议企业用户建置HTTP网关防毒系统(IWSA/IGSA),可以启动拦截可执行文件的功能以及URL过滤功能,而透过趋势科技NVW防毒墙也可以有效拦截此新型病毒。现在Web威胁经常由多种元素组成,包括电子邮件和网页浏览,木马TROJ_ANICMOO.AX目前就是利用这两种方式散播。随着电子邮件和Web威胁的合并,用户急需能够在这两个领域之间能提供回馈的解决方案,以便实现网络的集中管理,免受各种威胁的攻击。作为全球领先的内容安全公司,趋势科技全面Web威胁保护(Total Web Threat Protection)解决方案,可提供迅速、有效而全面的Web威胁保护。
非趋势科技产品的用户,亦可下载趋势科技PC-cillin2007对此病毒进行查杀,PC-cillin特有的URL过滤技术可彻底清除此病毒:http://www.trendmicro.com/download/zh-cn/product.asp?productid=32