8749.com的垃圾,锁定主页的解决方案

这是一个典型的病毒化的流氓软件,中标后的典型现象是主页被锁定为www.8749.com。在短短几天之间,已经出现了数个变种。以变种出现的速度来看,估计该流氓软件会很快在互联网大规模传播。

破坏性

该病毒为了保护自身不被用户清除,使用了极端的手段。除了让一些安全软件无法运行之外(差不多是复制了AV终结者病毒的破坏特性),任何包含“8749病毒”、“删除8749”一类字符的窗口都会被该病毒强制终止,病毒还会禁用系统还原,破坏安全模式等手段,令清除病毒或恢复系统变得更加困难。

病毒发展新趋势

过去,大多数病毒都选择隐藏在系统目录。这个病毒最显著的特点是隐藏在QQ目录中,并且插入QQ进程,以绕过反病毒软件的监控。显然,病毒技术已经从过去的发掘系统漏洞、攻击杀毒软件转向攻击通用软件。

改写host文件

8749病毒把www.piaoxue.com(曾经十分流行的飘雪)网址,杀毒厂商的服务器列表都被阻止访问,显然病毒除了跟反病毒软件作斗争,病毒之间抢地盘的趋势也更加明朗。

稍候会公布更详细的分析报告和解决方案。

8749病毒解决方案

8749病毒每次入侵后生成的病毒程序是随机的,不同的电脑中毒后会发现不同的病毒程序。病毒还破坏了安全模式,并监视注册表键,即使您使用金山毒霸的AV终结者专杀工具,也不能在病毒运行时,修复被破坏的安全模式,造成手工解除病毒非常困难。

金山毒霸已经紧急升级了病毒库,金山清理专家也于昨晚紧急升级,可以将8749病毒清除。已经受8749病毒困扰的用户,可参考以下步骤修复系统。

1.使用金山清理专家,程序会自动检测恶意软件,检测到8749病毒后,点击立即清除。

2.立即重启电脑,使用金山清理专家修复被病毒破坏的注册表,修复被病毒添加的加载项

3.访问http://zhuansha.duba.net/259.shtml下载AV终结者专杀工具修复被破坏的安全模式

4.右键单击我的电脑,选择属性,点击“系统还原”标签页,把禁用的勾去掉。建议至少要选择保护C分区,在系统遇到紧急故障时,利用系统还原可以减少恢复系统的成本。

金山清理专家下载地址:http://www.duba.net/zt/ksc/down.shtml

8749病毒详细分析报告

http://hi.baidu.com/litiejun/blo … ee1d2d07088b9f.html

病毒行为:

1.使用删除文件,移动文件,写入空信息等三种方式清空HOST文件

2.病毒利用文件占用技术,实现对自身程序文件的保护

3.修改注册表键,禁用XP的系统还原

SoftwareMicrosoftInternet ExplorerSearch

SoftwareMicrosoftInternet ExplorerMain

4.添加注册表启动项,因病毒名是随机生成,不同的电脑,感染的文件并不完全一致。修改注册表HKLMsoftwaremicrosoftwindowscurrentversion
unonce,实现自动注册组件。

5.破坏安全模式(清空注册表SAFEMODE下的所有项目),使你不能进入安全模式调试系统。

6.终止所有包含下列字符的窗口的进程。

btbaicai

wopticlean

360safe

8749病毒

8749专杀

卡卡

安全卫士

IE修复

8749.com病毒

清除8749

删除8749

7.子DLL,每20分钟从http://up.yinlew.com:8080/hellohost515.ini?p=%s&t=%d下载一个要阻止访问的网站列表,下载后的文件保存在%sys32dir%andttrs文件中。类似以下内容:

125.91.1.20 www.kzdh.com

125.91.1.20 www.7255.com

125.91.1.20 www.7322.com

125.91.1.20 www.7939.com

125.91.1.20 www.piaoxue.com

125.91.1.20 www.feixu.net

125.91.1.20 www.6781.com

125.91.1.20 www.7b.com.cn

125.91.1.20 www.918188.com

125.91.1.20 hao.allxue.com

125.91.1.20 good.allxue.com

125.91.1.20 baby.allxue.com

125.91.1.20 www.allxue.com

125.91.1.20 about.lank.la

125.91.1.20 www.x114x.com

125.91.1.20 www.37ss.com

125.91.1.20 www.7k.cc

125.91.1.20 www.73ss.com

125.91.1.20 www.hao123.com

125.91.1.20 www.81915.com

125.91.1.20 www.9991.com

125.91.1.20 www.my123.com

125.91.1.20 www.haokan123.com

125.91.1.20 www.5566.net

125.91.1.20 www.gjj.cc

125.91.1.20 www.2345.com

125.91.1.20 www.123wa.com

125.91.1.20 www.ku886.com

125.91.1.20 www.5icrack.com

125.91.1.20 www.jjol.cn

125.91.1.20 www.xinhai168.com

125.91.1.20 ooooos.com

125.91.1.20 www.ooooos.com

125.91.1.20 www.8757.com

125.91.1.20 4199.5009.com

125.91.1.20 www.13886.cn

125.91.1.20 www.8757.com

125.91.1.20 www.baidu345.com

125.91.1.20 www.dedewang.com

125.91.1.20 allxun.5009.cn

125.91.1.20 4199.5009.cn

125.91.1.20 yahoo.5009.cn

125.91.1.20 tom.5009.cn

125.91.1.20 zh130.5009.cn

125.91.1.20 piaoxue.5009.cn

125.91.1.20 3448.5009.cn

125.91.1.20 ttmp3.5009.cn

125.91.1.20 fx120.5009.cn

125.91.1.20 7939.5009.cn

125.91.1.20 99488.5009.cn

125.91.1.20 7333.5009.cn

125.91.1.20 www.ld123.com

125.91.1.20 www.anyiba.com

125.91.1.20 www.999991.cn

125.91.1.20 www.hao123.cn

125.91.1.20 www.3721.com

125.91.1.20 www.haol23.com

125.91.1.20 haol23.com

8.生成与子DLL同名的SYS驱动程序,驱动程序监控自身服务注册项(独立线程监控、WINLOGON启动时监控),如果被安全软件修改,病毒会再改回来。

9.IRP HOOK最底层的文件系统(IRP_MJ_SET_INFORMATION),保护文件,不能删除,不能更名。

10.挂钩ZwCreateFile,在其访问system32driversetchosts时,将该访问操作重定向到%sys32dir%andttrs。相当 于用这个andttrs取代了系统的hosts文件,达到跟修改HOST文件相同的效果,用户只能通过修改andttrs或恢复HOOK阻止本地域名绑定。

11.挂钩ZwLoadDriver,禁止ICESWORD(冰刃)的驱动加载。

0
如无特殊说明,文章均为本站原创,转载请注明出处

该文章由 发布

这货来去如风,什么鬼都没留下!!!
发表我的评论

Hi,请填写昵称和邮箱!

取消评论
代码 贴图 加粗 链接 删除线 签到