潘无忧 2008-7-16 22:02
流氓软件8749完整解决方案与详细分析报告
2007年7月25日,51CTO从金山毒霸反病毒中心获悉,一名为8749的流氓软件正在互联网上大肆传播,并上演了一场“黑吃黑”的流氓软件大战,不但大量用户IE首页被篡改为[url]www.8749.com[/url],而且一些曾经极具影响力的同类“流氓”软件也被攻击。
8749每次入侵后生成的程序是随机的,不同的电脑中招后会发现不同的程序,而且还破坏了安全模式,并监视注册表键,即使您使用金山毒霸的AV终结者专杀工具,也不能在其运行时,修复被破坏的安全模式,造成手工解除非常困难。
金山毒霸已经紧急升级了有关8749的特征库,需要将金山毒霸查毒和金山清理专家的文件粉碎器结合使用,将8749清除掉。金山清理专家也正在紧急升级中,升级后,可顺利将8749清除。已经受8749困扰的用户,可参考以下步骤修复系统。
1.使用金山清理专家,程序会自动检测恶意软件,检测到8749病毒后,点击全选,再点清除选中项。
[align=center][img=450,331]http://netsecurity.51cto.com/files/uploadimg/20070726/1545360.gif[/img][/align]2.立即重启电脑,使用金山清理专家修复被病毒破坏的注册表,修复被病毒添加的加载项
3.访问[url]http://zhuansha.duba.net/259.shtml[/url]下载AV终结者专杀工具修复被破坏的安全模式。
4.右键单击我的电脑,选择属性,点击“系统还原”标签页,把禁用的勾去掉。建议至少要选择保护C分区,在系统遇到紧急故障时,利用系统还原可以减少恢复系统的成本。
毒霸用户发现病毒无法处理时,推荐下载清理专家2.0,下载地址:
http://www.duba.net/zt/ksc/down.shtml
[b]8749病毒详细分析报告[/b]
[b]病毒行为:[/b]
1.使用删除文件,移动文件,写入空信息等三种方式清空HOST文件
2.病毒利用文件占用技术,实现对自身程序文件的保护
3.修改注册表键,禁用XP的系统还原
Software\Microsoft\Internet Explorer\Search
Software\Microsoft\Internet Explorer\Main
4.添加注册表启动项,因病毒名是随机生成,不同的电脑,感染的文件并不完全一致。修改注册表HKLM\software\microsoft\windows\currentversion\runonce,实现自动注册组件。
5.破坏安全模式(清空注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot下的所有项目),使你不能进入安全模式调试系统。启动系统到安全模式会蓝屏
[align=center][img=450,190]http://netsecurity.51cto.com/files/uploadimg/20070726/1545361.gif[/img][/align][b]6.终止所有包含下列字符的窗口的进程。[/b]
btbaicai
wopticlean
360safe
8749病毒
8749专杀
卡卡
安全卫士
IE修复
8749.com病毒
清除8749
删除8749
[b]7.子DLL,每20分钟从[/b][b]http://up.yinlew.com:8080/hellohost515.ini?p=%s&t=%d[/b][b]下载一个要阻止访问的网站列表,下载后的文件保存在%sys32dir%\andttrs文件中。[/b]类似以下内容:
125.91.1.20 [url]www.kzdh.com[/url]
125.91.1.20 [url]www.7255.com[/url]
125.91.1.20 [url]www.7322.com[/url]
125.91.1.20 [url]www.7939.com[/url]
125.91.1.20 [url]www.piaoxue.com[/url]
125.91.1.20 [url]www.feixu.net[/url]
125.91.1.20 [url]www.6781.com[/url]
125.91.1.20 [url]www.7b.com.cn[/url]
125.91.1.20 [url]www.918188.com[/url]
125.91.1.20 hao.allxue.com
125.91.1.20 good.allxue.com
125.91.1.20 baby.allxue.com
125.91.1.20 [url]www.allxue.com[/url]
125.91.1.20 about.lank.la
125.91.1.20 [url]www.x114x.com[/url]
125.91.1.20 [url]www.37ss.com[/url]
125.91.1.20 [url]www.7k.cc[/url]
125.91.1.20 [url]www.73ss.com[/url]
125.91.1.20 [url]www.hao123.com[/url]
125.91.1.20 [url]www.81915.com[/url]
125.91.1.20 [url]www.9991.com[/url]
125.91.1.20 [url]www.my123.com[/url]
125.91.1.20 [url]www.haokan123.com[/url]
125.91.1.20 [url]www.5566.net[/url]
125.91.1.20 [url]www.gjj.cc[/url]
125.91.1.20 [url]www.2345.com[/url]
125.91.1.20 [url]www.123wa.com[/url]
125.91.1.20 [url]www.ku886.com[/url]
125.91.1.20 [url]www.5icrack.com[/url]
125.91.1.20 [url]www.jjol.cn[/url]
125.91.1.20 [url]www.xinhai168.com[/url]
125.91.1.20 ooooos.com
125.91.1.20 [url]www.ooooos.com[/url]
125.91.1.20 [url]www.8757.com[/url]
125.91.1.20 4199.5009.com
125.91.1.20 [url]www.13886.cn[/url]
125.91.1.20 [url]www.8757.com[/url]
125.91.1.20 [url]www.baidu345.com[/url]
125.91.1.20 [url]www.dedewang.com[/url]
125.91.1.20 allxun.5009.cn
125.91.1.20 4199.5009.cn
125.91.1.20 yahoo.5009.cn
125.91.1.20 tom.5009.cn
125.91.1.20 zh130.5009.cn
125.91.1.20 piaoxue.5009.cn
125.91.1.20 3448.5009.cn
125.91.1.20 ttmp3.5009.cn
125.91.1.20 fx120.5009.cn
125.91.1.20 7939.5009.cn
125.91.1.20 99488.5009.cn
125.91.1.20 7333.5009.cn
125.91.1.20 [url]www.ld123.com[/url]
125.91.1.20 [url]www.anyiba.com[/url]
125.91.1.20 [url]www.999991.cn[/url]
125.91.1.20 [url]www.hao123.cn[/url]
125.91.1.20 [url]www.3721.com[/url]
125.91.1.20 [url]www.haol23.com[/url]
125.91.1.20 haol23.com
8.生成与子DLL同名的SYS驱动程序,驱动程序监控自身服务注册项(独立线程监控、WINLOGON启动时监控),如果被安全软件修改,病毒会再改回来。
9.IRP HOOK最底层的文件系统(IRP_MJ_SET_INFORMATION),保护文件,不能删除,不能更名。
10.挂钩ZwCreateFile,在其访问system32\drivers\etc\hosts时,将该访问操作重定向到%sys32dir%\andttrs。相当 于用这个andttrs取代了系统的hosts文件,达到跟修改HOST文件相同的效果,用户只能通过修改andttrs或恢复HOOK阻止本地域名绑定。
11.挂钩ZwLoadDriver,禁止ICESWORD(冰刃)的驱动加载。
