流氓软件新技术 8749病毒详细分析报告

　　8749病毒是一个典型的病毒化的流氓软件，中8749病毒后的典型现象是主页被锁定为www.8749.com。在短短几天之间，8749病毒已经出现了数个变种。以变种出现的速度来看，估计该流氓软件会很快在互联网大规模传播。

　　病毒行为：

　　1.使用删除文件，移动文件，写入空信息等三种方式清空HOST文件

　　2.病毒利用文件占用技术，实现对自身程序文件的保护

　　3.修改注册表键，禁用XP的系统还原

　　Software\Microsoft\Internet Explorer\Search

　　Software\Microsoft\Internet Explorer\Main

　　4.添加注册表启动项，因病毒名是随机生成，不同的电脑，感染的文件并不完全一致。修改注册表HKLM\software\microsoft\windows\currentversion\runonce，实现自动注册组件。

　　5.破坏安全模式(清空注册表SAFEMODE下的所有项目)，使你不能进入安全模式调试系统。

　　6.终止所有包含下列字符的窗口的进程。

　　btbaicai

　　wopticlean

　　360safe

　　8749病毒

　　8749专杀

　　卡卡

　　安全卫士

　　IE修复

　　8749.com病毒

　　清除8749

　　删除8749

　　7.子DLL，每20分钟从http://up.yinlew.com:8080/hellohost515.ini?p=%s&t=%d下载一个要阻止访问的网站列表，下载后的文件保存在%sys32dir%\andttrs文件中。类似以下内容：

　　125.91.1.20 www.kzdh.com

　　125.91.1.20 www.7255.com

　　125.91.1.20 www.7322.com

　　125.91.1.20 www.7939.com

　　125.91.1.20 www.piaoxue.com

　　125.91.1.20 www.feixu.net

　　125.91.1.20 www.6781.com

　　125.91.1.20 www.7b.com.cn

　　125.91.1.20 www.918188.com

　　125.91.1.20 hao.allxue.com

　　125.91.1.20 good.allxue.com

　　125.91.1.20 baby.allxue.com

　　125.91.1.20 www.allxue.com

　　125.91.1.20 about.lank.la

　　125.91.1.20 www.x114x.com

　　125.91.1.20 www.37ss.com

　　125.91.1.20 www.7k.cc

　　125.91.1.20 www.73ss.com

　　125.91.1.20 www.hao123.com

　　125.91.1.20 www.81915.com

　　125.91.1.20 www.9991.com

　　125.91.1.20 www.my123.com

　　125.91.1.20 www.haokan123.com

　　125.91.1.20 www.5566.net

　　125.91.1.20 www.gjj.cc

　　125.91.1.20 www.2345.com

　　125.91.1.20 www.123wa.com

　　125.91.1.20 www.ku886.com

　　125.91.1.20 www.5icrack.com

　　125.91.1.20 www.jjol.cn

　　125.91.1.20 www.xinhai168.com

　　125.91.1.20 ooooos.com

　　125.91.1.20 www.ooooos.com

　　125.91.1.20 www.8757.com

　　125.91.1.20 4199.5009.com

　　125.91.1.20 www.13886.cn

　　125.91.1.20 www.8757.com

　　125.91.1.20 www.baidu345.com

　　125.91.1.20 www.dedewang.com

　　125.91.1.20 allxun.5009.cn

　　125.91.1.20 4199.5009.cn

　　125.91.1.20 yahoo.5009.cn

　　125.91.1.20 tom.5009.cn

　　125.91.1.20 zh130.5009.cn

　　125.91.1.20 piaoxue.5009.cn

　　125.91.1.20 3448.5009.cn

　　125.91.1.20 ttmp3.5009.cn

　　125.91.1.20 fx120.5009.cn

　　125.91.1.20 7939.5009.cn

　　125.91.1.20 99488.5009.cn

　　125.91.1.20 7333.5009.cn

　　125.91.1.20 www.ld123.com

　　125.91.1.20 www.anyiba.com

　　125.91.1.20 www.999991.cn

　　125.91.1.20 www.hao123.cn

　　125.91.1.20 www.3721.com

　　125.91.1.20 www.haol23.com

　　125.91.1.20 haol23.com

　　8.生成与子DLL同名的SYS驱动程序，驱动程序监控自身服务注册项(独立线程监控、WINLOGON启动时监控)，如果被安全软件修改，病毒会再改回来。

　　9.IRP HOOK最底层的文件系统(IRP_MJ_SET_INFORMATION)，保护文件，不能删除，不能更名。

　　10.挂钩ZwCreateFile，在其访问system32\drivers\etc\hosts时，将该访问操作重定向到%sys32dir%\andttrs。相当 于用这个andttrs取代了系统的hosts文件，达到跟修改HOST文件相同的效果，用户只能通过修改andttrs或恢复HOOK阻止本地域名绑定。

　　11.挂钩ZwLoadDriver,禁止ICESWORD(冰刃)的驱动加载。

　　附录:流氓软件卷土重来 8749上演“黑吃黑”

　　来自金山毒霸反病毒中心最新消息，一名为8749的流氓软件正在互联网上大肆传播，并上演了一场“黑吃黑”的流氓软件大战，不但大量用户IE首页被篡改为www.8749.com,而且一些曾经极具影响力的同类“流氓”软件也被攻击。由于8749流氓软件采用了上半年毒王AV终结者的一些最新的病毒攻击技术，故普通用户很难彻底清除。

　　金山毒霸反病毒专家戴光剑表示，流氓软件8749不但具备流氓软件的一些基本特性，而且采用了现代最流行的病毒攻击手段，如删除系统文件、破坏安全模式等等，流氓软件病毒化特征非常明显。

　　专家表示，8749可通过删除清空注册表SAFEMODE下的所有项目，破坏安全模式，使用户不能进入安全模式调试系统;同时，添加注册表启动项，因该流氓软件名是随机生成，不同的电脑，感染的文件并不完全一致，增加了用户进行清除的难度。

　　此外，与AV终结者相似，8749的自我保护意识非常强，如终止安全修复工具、将自身隐藏在QQ等目录中，并且插入QQ进程，以绕过反病毒软件的监控。而这种从过去的发掘系统漏洞、攻击杀毒软件转向攻击通用软件的技术可以说是目前较新的病毒攻击手段。用户一旦中招，不但相关的修复工具、杀毒软件被禁用，而且只要用户打开带有“8749病毒”、“8749专杀”、“清除8749”字样的窗口，窗口即刻被关闭。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有