小光標攻破Ｗｉｎｄｏｗｓ

近日，“麥英”蠕蟲病毒瘋狂傳播，利用定制的ANI文件引發WindOWS漏洞(包括Windows Vista在內都受此漏洞影響)，然后自動下載運行黑客指定的病毒、木馬及后門程序等。

ANI文件是Windows鼠標動態光標文件，打開C：\\WINDOWS\\Cursors目錄，就能看到平時熟悉的各種鼠標光標。但正是這只有幾KB的ANI文件會引起一個漏洞，主要是因為Windows在處理畸形文件(.ani)時，沒有正確地驗證ANI頭中所指定的大小，導致系統出現棧溢出漏洞。

聽起來好像不是很嚴重吧?如果你這樣認為，那就錯了，請接著往下看黑客們可以利用它來干什么。

光標惹的禍

Step1 制作惡意光標文件

首先，黑客要制作惡意的動畫光標文件，使其具有能下載其他的病毒或木馬程序的能力。運行ANI漏洞利用工具，在“請輸入你的木馬地址”選項中，輸入需要下載的木馬、病毒的網頁地址，然后點擊“Create file”按鈕生成相應的惡意光標文件。

Step2 偽裝惡意光標文件

找到剛剛生成的惡意光標文件，這是一個BMP格式的文件。黑客可以修改文件后綴名，將BMP格式文件更改為Jpeg、ANI、Gif等常見圖片格式文件，筆者測試發現，將后綴名改為EXE格式同樣可以運行。

Step3 構造惡意網頁木馬

用工具生成惡意光標文件的同時，還會生成名為index.htm、xjz2007.htm、xjz2007.js三個文件。這樣病毒作者就不用再自己構造網頁木馬，不過如果在上一步更改了惡意光標文件名稱的話，就需要在xjz2007.js這個文件中做相應修改。

Step4 誘騙用戶運行病毒

黑客會想盡各種辦法誘騙用戶訪問index.htm文件，如放在某個網站上或者給你發封含此文件的郵件。用戶打開index.htm文件后，就會自動調用xjz2007.js，最后腳本文件打開該惡意光標文件。這樣即可觸發該動畫光標漏洞，并且立即下載和執行黑客的病毒或木馬程序。

如何防范光標漏洞

最早發布此漏洞補丁的并非微軟，而是eEye安全組織。這里推薦大家安裝官方的補丁(KB925902)，可以在微軟官方網站上搜索下載后安裝。

打上補丁后，即使再運行那個腳本文件也不會中招了。其實，我們可以在系統中禁止自動運行腳本文件。

在“開始→運行”中輸入gpedit.msc，打開策略組窗口，選擇“用戶配置—管理模板—系統”選項，打開“阻止訪問命令提示符”選項，設置為“已啟用”并把下面“是否也要禁用命令提示符腳本處理”選為“是”，點擊“確定”按鈕退出。

最后要做的是升級病毒庫，同時注意不要隨意下載文件，在打開陌生郵件時開啟殺毒軟件的實時監控功能。