近日，“麦英”蠕虫病毒疯狂传播，利用定制的ANI文件引发WindOWS漏洞(包括Windows Vista在内都受此漏洞影响)，然后自动下载运行黑客指定的病毒、木马及后门程序等。
　　ANI文件是Windows鼠标动态光标文件，打开C：\WINDOWS\Cursors目录，就能看到平时熟悉的各种鼠标光标。但正是这只有几KB的ANI文件会引起一个漏洞，主要是因为Windows在处理畸形文件(.ani)时，没有正确地验证ANI头中所指定的大小，导致系统出现栈溢出漏洞。
　　听起来好像不是很严重吧?如果你这样认为，那就错了，请接着往下看黑客们可以利用它来干什么。
　　
　　光标惹的祸
　　
　　Step1　制作恶意光标文件
　　首先，黑客要制作恶意的动画光标文件，使其具有能下载其他的病毒或木马程序的能力。运行ANI漏洞利用工具，在“请输入你的木马地址”选项中，输入需要下载的木马、病毒的网页地址，然后点击“Create file”按钮生成相应的恶意光标文件。
　　Step2　伪装恶意光标文件
　　找到刚刚生成的恶意光标文件，这是一个BMP格式的文件。黑客可以修改文件后缀名，将BMP格式文件更改为Jpeg、ANI、Gif等常见图片格式文件，笔者测试发现，将后缀名改为EXE格式同样可以运行。
　　Step3　构造恶意网页木马
　　用工具生成恶意光标文件的同时，还会生成名为index.htm、xjz2007.htm、xjz2007.js三个文件。这样病毒作者就不用再自己构造网页木马，不过如果在上一步更改了恶意光标文件名称的话，就需要在xjz2007.js这个文件中做相应修改。
　　Step4　诱骗用户运行病毒
　　黑客会想尽各种办法诱骗用户访问index.htm文件，如放在某个网站上或者给你发封含此文件的邮件。用户打开index.htm文件后，就会自动调用xjz2007.js，最后脚本文件打开该恶意光标文件。这样即可触发该动画光标漏洞，并且立即下载和执行黑客的病毒或木马程序。
　　
　　如何防范光标漏洞
　　
　　最早发布此漏洞补丁的并非微软，而是eEye安全组织。这里推荐大家安装官方的补丁(KB925902)，可以在微软官方网站上搜索下载后安装。
　　打上补丁后，即使再运行那个脚本文件也不会中招了。其实，我们可以在系统中禁止自动运行脚本文件。
　　在“开始→运行”中输入gpedit.msc，打开策略组窗口，选择“用户配置—管理模板—系统”选项，打开“阻止访问命令提示符”选项，设置为“已启用”并把下面“是否也要禁用命令提示符脚本处理”选为“是”，点击“确定”按钮退出。
　　最后要做的是升级病毒库，同时注意不要随意下载文件，在打开陌生邮件时开启杀毒软件的实时监控功能。