电脑软硬件应用网站长注解：该病毒是系统的一个漏洞造成，微软暂未发布相关补丁。

今天（2007/04/04）微软发布该系统补丁，补丁相关信息和下载方式：

漏洞名称: GDI漏洞导致远程代码被执行 (925902)
漏洞的影响: 远程执行代码
最高严重等级: 严重
受影响的操作系统: 所有基于NT架构的Windows系统
描述: 现已确认有一个安全问题, 攻击者可能会利用此问题危及 Windows 系统的安全并获取对该系统的控制权. 您可通过安装本 Microsoft 更新程序来保护计算机不受侵害. 安装本更新程序之后, 可能需要重新启动计算机.
补丁包分类下载:Windows XP 更新程序 (KB925902)
Windows XP x64 Edition 安全更新程序 (KB925902)
用于基于 x64 的系统的 Windows Vista 安全更新程序 (KB925902)
Windows Vista 安全更新程序 (KB925902)
Windows Server 2003 x64 Edition 安全更新程序 (KB925902)
Windows Server 2003 安全更新程序 (KB925902)
Windows 2000 安全更新程序 (KB925902)

解决方法见下：

一:SysLoad3.exe木马病毒专杀的使用:

专杀下载地址1:down.45its.com

江民专杀下载地址:http://download.jiangmin.info/jmsoft/ANIWormKiller.exe

     使用前，请先断网，删除系统目录下的SysLoad3.exe以及1.exe,2.exe,...,7.exe，用IceSword删除临时目录下的那几个动态库。当任务管理器里没有iexplore.exe和notepad.exe的进程时，就可以运行这个恢复程序了。 

     特别注意：运行过程中，不要去运行其他程序，有可能你运行的那个程序就是带毒的！！

最新解决教程一：

病毒名称：Trojan-Downloader.Win32.Agent.bky（Kaspersky） 病毒别名：Worm.DlOnlineGames.a（瑞星） 　　　　　 Win32.MyInfect.af.16384（毒霸） 病毒大小：13,824 字节 　　　　　 13,312 字节 加壳方式： 样本MD5：1d9ad0c63ff4b43c28052db0f0cd23ae 　　　　　 e9100ce97a5b4fbd8857b25ffe2d7179 样本SHA1：8da40bc9d27e5d3707b0cc9710b5528c1b8e7404 　　　　　 a0a32e4bea2c3b366c0e0433f17ef9c9f9b41104 发现时间：2007.3 更新时间：2007.3.30 关联病毒： 传播方式：通过恶意网站传播，利用ani漏洞，感染exe可执行文件，修改htm等网页文件，发送邮件 技术分析 ========== 病毒运行后复制自身到系统目录： %System%\sysload3.exe 创建自启动项： [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "System Boot Check"="%System%\sysload3.exe" 调用IE进程（iexplore.exe）访问网络下载病毒配置信息，保存为%System%\config.ini，开启记事本（notepad.exe）进程开始感一系列病毒动作。 感染系统分区以外的.EXE文件，感染过程中会产生临时文件%System%\tempIcon.exe和%System%\tempload.exe，%System%\tempIcon.exe是病毒副本+被感染exe文件图标，添加到被感染exe文件前端；被感染exe文件尾部也增加8字节。 修改网页文件， .HTM .HTML .ASP .ASPX .PHP .JSP 在这些文件的代码后添加指向恶意地址的代码： 尝试向A驱动器复制病毒副本： A:\tool.exe A:\autorun.inf autorun.inf内容： [autorun] Open=tool.exe Shellexecute=tool.exe Shell\0\command = tool.exe Shell\0= 打开 尝试向QQ信箱发送邮件，QQ号码随机产生，正文里附带含有利用ani漏洞的恶意网页地址。   QUOTE: 发件人：i_love_cq@sohu.com 收件人：[随机数字]@qq.com 主题：你和谁视频的时候被拍下的？给你笑死了！ 正文： 看你那小样！我看你是出名了！ 你看这个地址！你的脸拍的那么清楚！你变明星了！ http://macr.microfsot.com/20070326/134952.htm 修改hosts文件，屏蔽一些域名，其中也包括其它同类病毒的下载域名。 病毒内文字信息： OK BMW  xV4 I will by one BMW this year!    xV4 Mutex:MyInfect 清除步骤 ========== 1. 结束notepad.exe进程和iexplore.exe进程 2. 删除病毒自启动项： [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "System Boot Check"="%System%\sysload3.exe" 3. 删除文件： %System%\sysload3.exe %System%\config.ini 4. 使用反病毒软件进行全盘扫描，清除被感染的exe和网页文件

最新解决教程二:以下是分析和手动清除方法:

 

昨天下午加班回来，发现本本的行为相当诡异。看了看任务管理器，有几个Ie的进程和几个Notepad的进程有些可疑。然后看了看注册表，加了启动项：SysLoad3.exe，在Windows系统目录下面。唉，我是不用杀毒软件的，一般中了木马都是随便杀杀就完了，然而这个木马很讨厌，明显影响使用。木马程序做的这么土，也太匪夷所思了。用户都知道有干扰了，还怎么木马啊！不知道作者怎么想的~~     既然这么讨厌，那就干死他！不罗嗦，IDA伺候。我分析的是1.0.6版，程序逻辑比较简单，看看他都干啥了~~     1. 一开始是在注册表中创建一个启动项: System Boot Check，调整到Debug权限，然后创建一个iexplore.exe的进程和一个Notepad.exe的进程。     2.自然是要把代码注入到远程进程去啦~~，作者注入的方式比较简单。设计的时候就把自己的加载地址改了，没用0x400000，而是用了一个很不常见的地址（0x13150000)，估计是用notepad和iexplore都测试过，可以确认该地址不会被占用。然后根据PE的信息取出需要的空间大小(0x7000)，从iexplore和notepad里分配该空间，最后把整个程序都copy过去，地址修正这些就全都免了。最后当然是木马最爱的函数CreateRemoteThread拉~~     3.嗯，干完活以后，sysload3.exe就没事干了。接下来就是iexplore和notepad大显身手~。     4.首先是iexplore干活，这个时候notepad也有一个重要的任务。它要检查看自己是本体还是被感染体。如果是被感染体，则需要把感染前的程序放出来干活，这样才不至于被用户发现。然后线程就等通知(Named Event: MySignal)。这个时候iexplore在干吗呢？接着看。     5.Iexplore(名字真长，后面叫IE好了~)先创建一个命名Mutex:MyDownload,告诉后面来的兄弟：有我在，你们都休息吧~。然后创建MySignal Event，置为无信号状态。接下来正式开始干活：IE的任务就是把病毒文件最新的配置信息取下来，根据新的配置信息更新本地的病毒版本。先是从http://a.2007ip.com/css.css下载配置文件，保存在本地的名字就叫config.ini。     配置文件的格式及注释如下：     [config]     Version=1.0.6     NUM=7  ;这里指出下面有多少个任务(最多20个），每个任务都是把文件取下来，存在本地的名字就是同名的exe     1=/Article/picture/200704/20070402104202734.gif     2=/Article/picture/200704/20070402104203328.gif     3=/Article/picture/200704/20070402104203803.gif     4=/Article/picture/200704/20070402104203144.gif     5=/Article/picture/200704/20070402104204500.gif     6=/Article/picture/200704/20070402104204618.gif     7=/Article/picture/200704/20070402104205415.gif     UpdateMe=http://a.2007ip.com/5949645046.exe ;更新sysload3.exe本身     tongji=http://if.iloveck.com/test/tongji.htm        ;唉，统计，作者就觉得这东西这么NB？还要统计一下。。。。     hos=/Article/picture/200704/20070402104206386.gif  ;这里非常出彩！作者苦心收集了一大堆流氓网站的名字，给我们种木马的时候，顺便给我  们把这些网站也给屏蔽了。全都记录在hosts文件里面，都解析成本地！虽然不清楚作者的本意是为了打击竞争对手(其他木马，嘿嘿~）或者是真的为人民服务，无论如何，赞作者~~！！虽然木马杀了，这个功能我还是会继续使用的，估计作者还会更新~哈哈~~          好，任务都完成了以后，IE同学休息休息~~     6.Nopepad粉墨登场。       这个坏家伙一上来就不干好事儿~，从Z盘到A盘挨个来，一个不落的去感染其他文件，包括EXE，ASP，ASPX，HTM，HTML，PHP，嗯，好像就这些。这是这个木马非常让我厌恶的地方。        A.其EXE的感染的过程如下（大家不要看了去干坏事！）：        首先，依然是遍历所有文件。找到一个EXE后，检查它的最后4个字节是不是0x12345678。如果是，那么这个就是兄弟，下一位。        找到一个没给感染的后干吗呢？自然就是感染他拉~~哈哈哈~~~。注意看哦，这里很关键：把sysload3.exe复制一份，叫做tempicon.exe，为啥是icon呢？不着急，马上就能看到原因了。tempicon有了以后，把目标程序的图标资源取出来，插入到tempicon里面去，这样的话，tempicon看起来就长得跟目标一样咯~。下一步呢，就是要把目标程序保存下来，于是就有了tempload.exe，这个文件就是把tempicon复制一份，然后把目标程序紧接着放在后面。最后加入8个自己的识别信息，前四个字节指出木马本身的长度，后四个字节就是前面说的0x12345678;       B.web相关的文件的处理大同小异，临时文件是temphtml~，中间插入一个流氓javascript文件：                   感染完整个硬盘后，就没50秒扫描一次又没有U盘，软盘之类的驱动器挂上。挂上了就在根目录下生成一个Autorun.inf，复制一份SysLoad3.exe过去，比较简单。       哦，好像检查了系统目录所在的分区没有去遍历。            嗯，打完收工！        基本流程就是这样了~。要恢复的话，只要写个小程序，遍历一下硬盘里的exe，根据文件尾的标示(倒数第8-4个字节指出Sysload_Stub的长度，根据最后4个字节是否0x12345678判断是否是染毒文件)就可以恢复鸟~~~~至于其他的那些gizo0.dll,lgsy0.dll,msxo0.dll,rav20.dll之类的库，用IceSword从Explorer进程里卸载掉，然后就可以删掉啦~！              总的来看，木马加入一个配置文件这个思路挺好的~新开发一个木马，就让他们去下载~呵呵。然而多次看到作者在使用CreatFile的时候，判断返回值总是用0，诡异~难道不是INVALID_HANDLE_VALUE???应该可以排除作者不知道的可能性，在FindFirstFile的用法里，作者就是用得INVALID_HANDLE_VALUE比较的。我书读得少，谁知道的话请一定留言告诉我，谢谢~~。            分析过程挺麻烦的，唉~还好作者送上木马不忘附赠一个joke：I will by one BMW this year!如果作者靠这个能by到BMW，那这样一来我们的心情是不是可以愉悦很多哈~~嘿嘿~~