8749病毒详细分析报告
8749病毒是一个典型的病毒化的流氓软件,中8749病毒后的典型现象是主页被锁定为www.8749.com。在短短几天之间,8749病毒已经出现了数个变种。以变种出现的速度来看,估计该流氓软件会很快在互联网大规模传播。
病毒行为:
1、使用删除文件,移动文件,写入空信息等三种方式清空HOST文件
2、病毒利用文件占用技术,实现对自身程序文件的保护
3.修改注册表键,禁用XP的系统还原
Software\Microsoft\Internet Explorer\Search
Software\Microsoft\Internet Explorer\Main
4、添加注册表启动项,因病毒名是随机生成,不同的电脑,感染的文件并不完全一致。修改注册表HKLM\software\microsoft\windows\currentversion\runonce,实现自动注册组件。
5、破坏安全模式(清空注册表SAFEMODE下的所有项目),使你不能进入安全模式调试系统。
6、终止所有包含下列字符的窗口的进程。
btbaicai
wopticlean
360safe
8749病毒
8749专杀
卡卡
安全卫士
IE修复
8749.com病毒
清除8749
删除8749
7、子DLL,每20分钟从http://up.***.com:8080/hellohost515.ini?p=%s&t=%d下载一个要阻止访问的网站列表,下载后的文件保存在%sys32dir%\andttrs文件中。
8、生成与子DLL同名的SYS驱动程序,驱动程序监控自身服务注册项(独立线程监控、WINLOGON启动时监控),如果被安全软件修改,病毒会再改回来。
9、IRP HOOK最底层的文件系统(IRP_MJ_SET_INFORMATION),保护文件,不能删除,不能更名。
10、挂钩ZwCreateFile,在其访问system32\drivers\etc\hosts时,将该访问操作重定向到%sys32dir%\andttrs。相当 于用这个andttrs取代了系统的hosts文件,达到跟修改HOST文件相同的效果,用户只能通过修改andttrs或恢复HOOK阻止本地域名绑定。
11、挂钩ZwLoadDriver,禁止ICESWORD(冰刃)的驱动加载。
8749每次入侵后生成的程序是随机的,不同的电脑中招后会发现不同的程序,而且还破坏了安全模式,并监视注册表键,即使您使用金山毒霸的AV终结者专杀工具,也不能在其运行时,修复被破坏的安全模式,造成手工解除非常困难。
金山毒霸已经紧急升级了有关8749的特征库,需要将金山毒霸查毒和金山清理专家的文件粉碎器结合使用,将8749清除掉。金山清理专家也正在紧急升级中,升级后,可顺利将8749清除。已经受8749困扰的用户,可参考以下步骤修复系统。
1、使用金山清理专家,程序会自动检测恶意软件,检测到8749病毒后,点击全选,再点清除选中项。
2、立即重启电脑,使用金山清理专家修复被病毒破坏的注册表,修复被病毒添加的加载项
3、访问http://zhuansha.duba.net/259.shtml下载AV终结者专杀工具修复被破坏的安全模式。
4、右键单击我的电脑,选择属性,点击“系统还原”标签页,把禁用的勾去掉。建议至少要选择保护C分区,在系统遇到紧急故障时,利用系统还原可以减少恢复系统的成本。
毒霸用户发现病毒无法处理时,推荐下载清理专家2.0,下载地址:http://www.duba.net/zt/ksc/down.shtml
手动清除方法:
首先,尽量关闭应用程序。
利用各种软件的“重启删除”“强制删除”“粉碎文件”等功能(目前KV、瑞星、金山等系列安全软件均附带这些功能)删除如下文件(这里建议到down.45it.com下载费尔木马强制删除器工具进行强制删除):
%SystemRoot%\system32\[病毒随机名1].dll
QQ安装目录\[病毒随机名2].dll
在“开始菜单-运行”中输入如下命令:
Regsvr32 /u navcoy.dll
然后重新启动计算机,删除如下文件:
%SystemRoot%\system32\ok1.exe
%SystemRoot%\system32\navcoy.dll
QQ安装目录\rasadhlp.dll
删除如下注册表键值(开始菜单-运行-输入“regedit”):
HKEY_CLASSES_ROOT\CLSID\{62EA62EA-3FB7-51D9-D951-A62EA62EA62E}
HKEY_CLASSES_ROOT\Interface\{BEB97014-3C77-46E0-B23E-194614588A0B}
HKEY_LOCAL_MACHINE\SOFTWARE\8749 technologies
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{62EA62EA-3FB7-51D9-D951-A62EA62EA62E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BEB97014-3C77-46E0-B23E-194614588A0B}
其余的一些残留键值可以用一些注册表清理工具清除,并无大碍。
恢复IE主页和搜索页等设置,并重置HOSTS列表,这些可以用SREng修复。
恢复安全模式,可以使用SREng修复。具体方法:SREng-修复系统-高级修复-修复安全模式。
附录:流氓软件卷土重来 8749上演“黑吃黑”
来自反病毒中心最新消息,一名为8749的流氓软件正在互联网上大肆传播,并上演了一场“黑吃黑”的流氓软件大战,不但大量用户IE首页被篡改为www.8749.com,而且一些曾经极具影响力的同类“流氓”软件也被攻击。由于8749流氓软件采用了上半年毒王AV终结者的一些最新的病毒攻击技术,故普通用户很难彻底清除。
反病毒专家戴光剑表示,流氓软件8749不但具备流氓软件的一些基本特性,而且采用了现代最流行的病毒攻击手段,如删除系统文件、破坏安全模式等等,流氓软件病毒化特征非常明显。
专家表示,8749可通过删除清空注册表SAFEMODE下的所有项目,破坏安全模式,使用户不能进入安全模式调试系统;同时,添加注册表启动项,因该流氓软件名是随机生成,不同的电脑,感染的文件并不完全一致,增加了用户进行清除的难度。
此外,与AV终结者相似,8749的自我保护意识非常强,如终止安全修复工具、将自身隐藏在QQ等目录中,并且插入QQ进程,以绕过反病毒软件的监控。而这种从过去的发掘系统漏洞、攻击杀毒软件转向攻击通用软件的技术可以说是目前较新的病毒攻击手段。用户一旦中招,不但相关的修复工具、杀毒软件被禁用,而且只要用户打开带有“8749病毒”、“8749专杀”、“清除8749”字样的窗口,窗口即刻被关闭。
值得一提的是,此次8749的返攻不但将反病毒软件作为攻击目标,而且还将曾经一些影响比较大的流氓软件飘雪、7939等一同进行打击,可见病毒之间“抢地盘”、“黑吃黑”的趋势也更加明朗。
业内人士指出,流氓软件8749极有可能与www.8749.com网站有关,据了解,该网站为一导航类网站,与hao123非常相似,而流氓软件8749的一个特征就是阻止用户登陆hao123网站,因此,8749网站很难摆脱利用不正当竞争手段进行攻击竞争对手的嫌疑。
据悉,2006年流氓软件大规模爆发,用户怨声载道,金山等反病毒厂商纷纷发布专门针对流氓软件的清除工具,在大规模的围剿之下,流氓软件数量骤减;进入2007年,流氓软件仿佛销声匿迹,很少有影响力较大的流氓软件出现,而此次8749的出现再一次给广大用户敲响了警钟,流氓软件并没有消失,而是在不断的采用新的技术,肆机作案,用户以及各大安全厂商不可掉以轻心。
相关文章:
- [2017年05月14日]勒索病毒肆虐,带给我们怎样的反思?
- [2014年03月06日]新电脑病毒“空气”传播近距离感染
- [2012年10月18日]盘点史上最火爆的五次黑客攻击
- [2012年06月05日]火焰病毒
- [2011年12月17日]警惕摆渡病毒:不知不觉窃走你的隐私
- [2011年11月18日]几种常见CAD lisp病毒查杀方法
- [2011年11月18日]关于lisp病毒的清除方法
- [2011年10月16日]病毒软件诈骗帝国:恐吓软件刺激疯狂销售
- [2011年08月28日]轻松搞定病毒之病毒的防治策略
- [2011年08月28日]“恶邮差”病毒死灰复燃 变种突袭杀毒软件