risk.exploit.ani

當用戶的瀏覽器打開帶有相關惡意代碼的網頁，將畸形ANI檔案下載到本機臨時資料夾中時，這時，毒霸的實時防毒和網頁監控會進行報警。由於該檔案被IE占用，所以某些情況下毒霸是無法立即刪除的。但是毒霸已經專門針對此病毒進行了免疫處理，用戶即時沒有安裝相關漏洞補丁，只要啟用毒霸監控，也不會中毒。並且，針對這些檔案，毒霸還進行了延遲刪除處理，在下次重啟系統時，這些被鎖定的檔案會被自動，下載的畸形ANI檔案將不起作用，也就不會通過ANI漏洞去下載真正的病毒木馬。

1.對於病毒本身而言，清除是簡單的，關閉瀏覽器，然後清空IE臨時資料夾，補丁編號MS07-017 KB912919，詳細情況見http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx ，如果是本機感染病毒，可以根據日誌提取樣本。

2.區域網路其他計算機感染病毒進行會話劫持攻擊，最近的諮詢也比較多，上面的處理方法就無效了。因為病毒本來不一定在當前這台客戶機上。

某些病毒或者木馬利用ARP欺騙等手段，在用戶收到的網路數據包中自動插入iframe代碼，代碼指向利用MS07-017漏洞的網址。使得中毒用戶，以及區域網路中受到此中毒電腦的欺騙攻擊的用戶，在上任意網站的時候都會提示存在該病毒。

通俗點說，就是區域網路某個計算機感染病毒或者木馬，該病毒傳送arp欺騙，然後在所有的網頁訪問的tcp數據中插入一段iframe代碼，只要網內的計算機通過網關上網，所有的網頁都會跳轉到iframe制定的網頁，該網頁是存在畸形ANI檔案，所以毒霸會不斷的報警。顯示的Risk.exploit.ani只不過是一種表現，就像木馬下載器和木馬，其原理和功能有天壤之別。

對於該類情況，也比較容易判斷，如果是區域網路用戶，一般其他的電腦也存在該問題，而且是訪問任意網站都會存在該提示。由於不是本機感染病毒，所有對該計算機進行防毒，掃描提取樣本可能都是無效的。用戶需要找到的是傳送arp欺騙，從而導致出現該現象的機器，這個需要網管抓包來分析，用戶個人是無法完成的。當然無論如何，首要解決的是安裝補丁。

JS.delf.sa病毒的情況和Risk.exploit.ani病毒類似，如果你上網時，毒霸報告發現JS.delf.sa病毒，最大的可能性是區域網路ARP欺騙，這時，你訪問任何站點，可能都會提示發現JS.delf.sa病毒。同樣，這不意味著，你中毒了，可能是別的電腦中毒，病毒劫持了你和目標網站的會話，導致你的電腦上，瀏覽器也會下載相應的病毒代碼。解決方案，對企業區域網路來說，仍然是以找到區域網路中發起ARP攻擊的源頭，切斷攻擊源，把攻擊源主機上的病毒清除掉。所有客戶機需要安裝補丁程式，防止受害。

對於個人用戶來說，你只有一個辦法：打好系統補丁，把自己的安全大門把好。