QQ登录

只需一步,快速开始

流氓软件新技术 8749病毒详细分析报告

[复制链接]
水星人 发表于 2007-7-29 13:39 | 显示全部楼层 |阅读模式 来自: 中国–辽宁–本溪–平山区 联通/天翔网苑(南地解放南2路)

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?加入牧夫(请注明天文爱好者,否则无法通过审核,请勿使用gmail/outlook/aol/icloud邮箱注册)

×
本文摘自天空软件站
 8749病毒是一个典型的病毒化的流氓软件,中8749病毒后的典型现象是主页被锁定为www.8749.com<--(不要点击这个网站)。在短短几天之间,8749病毒已经出现了数个变种。以变种出现的速度来看,估计该流氓软件会很快在互联网大规模传播。
  病毒行为:
  1.使用删除文件,移动文件,写入空信息等三种方式清空HOST文件
  2.病毒利用文件占用技术,实现对自身程序文件的保护
  3.修改注册表键,禁用XP的系统还原
  Software\Microsoft\Internet Explorer\Search
  Software\Microsoft\Internet Explorer\Main
  4.添加注册表启动项,因病毒名是随机生成,不同的电脑,感染的文件并不完全一致。修改注册表HKLM\software\microsoft\windows\currentversion\runonce,实现自动注册组件。
  5.破坏安全模式(清空注册表SAFEMODE下的所有项目),使你不能进入安全模式调试系统。
  6.终止所有包含下列字符的窗口的进程。
  btbaicai
  wopticlean
  360safe
  8749病毒
  8749专杀
  卡卡
  安全卫士
  IE修复
  8749.com病毒
  清除8749
  删除8749
7.子DLL,每20分钟从http://up.yinlew.com:8080/hellohost515.ini?p=%s&;;t=%d下载一个要阻止访问的网站列表,下载后的文件保存在%sys32dir%\andttrs文件中。类似以下内容:
  125.91.1.20 www.kzdh.com
  125.91.1.20 www.7255.com
  125.91.1.20 www.7322.com
  125.91.1.20 www.7939.com
  125.91.1.20 www.piaoxue.com
  125.91.1.20 www.feixu.net
  125.91.1.20 www.6781.com
  125.91.1.20 www.7b.com.cn
  125.91.1.20 www.918188.com
  125.91.1.20 hao.allxue.com
  125.91.1.20 good.allxue.com
  125.91.1.20 baby.allxue.com
  125.91.1.20 www.allxue.com
  125.91.1.20 about.lank.la
  125.91.1.20 www.x114x.com
  125.91.1.20 www.37ss.com
  125.91.1.20 www.7k.cc
  125.91.1.20 www.73ss.com
  125.91.1.20 www.hao123.com
  125.91.1.20 www.81915.com
  125.91.1.20 www.9991.com
  125.91.1.20 www.my123.com
  125.91.1.20 www.haokan123.com
  125.91.1.20 www.5566.net
  125.91.1.20 www.gjj.cc
  125.91.1.20 www.2345.com
  125.91.1.20 www.123wa.com
  125.91.1.20 www.ku886.com
  125.91.1.20 www.5icrack.com
  125.91.1.20 www.jjol.cn
  125.91.1.20 www.xinhai168.com
  125.91.1.20 ooooos.com
  125.91.1.20 www.ooooos.com
  125.91.1.20 www.8757.com
  125.91.1.20 4199.5009.com
  125.91.1.20 www.13886.cn
  125.91.1.20 www.8757.com
  125.91.1.20 www.baidu345.com
  125.91.1.20 www.dedewang.com
  125.91.1.20 allxun.5009.cn
  125.91.1.20 4199.5009.cn
  125.91.1.20 yahoo.5009.cn
  125.91.1.20 tom.5009.cn
  125.91.1.20 zh130.5009.cn
  125.91.1.20 piaoxue.5009.cn
  125.91.1.20 3448.5009.cn
  125.91.1.20 ttmp3.5009.cn
  125.91.1.20 fx120.5009.cn
  125.91.1.20 7939.5009.cn
  125.91.1.20 99488.5009.cn
  125.91.1.20 7333.5009.cn
  125.91.1.20 www.ld123.com
  125.91.1.20 www.anyiba.com
  125.91.1.20 www.999991.cn
  125.91.1.20 www.hao123.cn
  125.91.1.20 www.3721.com
  125.91.1.20 www.haol23.com
  125.91.1.20 haol23.com
  8.生成与子DLL同名的SYS驱动程序,驱动程序监控自身服务注册项(独立线程监控、WINLOGON启动时监控),如果被安全软件修改,病毒会再改回来。
  9.IRP HOOK最底层的文件系统(IRP_MJ_SET_INFORMATION),保护文件,不能删除,不能更名。
  10.挂钩ZwCreateFile,在其访问system32\drivers\etc\hosts时,将该访问操作重定向到%sys32dir%\andttrs。相当 于用这个andttrs取代了系统的hosts文件,达到跟修改HOST文件相同的效果,用户只能通过修改andttrs或恢复HOOK阻止本地域名绑定。
  11.挂钩ZwLoadDriver,禁止ICESWORD(冰刃)的驱动加载。
  附录:流氓软件卷土重来 8749上演“黑吃黑”
  来自金山毒霸反病毒中心最新消息,一名为8749的流氓软件正在互联网上大肆传播,并上演了一场“黑吃黑”的流氓软件大战,不但大量用户IE首页被篡改为www.8749.com, <--(不要点击这个网站)而且一些曾经极具影响力的同类“流氓”软件也被攻击。由于8749流氓软件采用了上半年毒王AV终结者的一些最新的病毒攻击技术,故普通用户很难彻底清除。
  金山毒霸反病毒专家戴光剑表示,流氓软件8749不但具备流氓软件的一些基本特性,而且采用了现代最流行的病毒攻击手段,如删除系统文件、破坏安全模式等等,流氓软件病毒化特征非常明显。
  专家表示,8749可通过删除清空注册表SAFEMODE下的所有项目,破坏安全模式,使用户不能进入安全模式调试系统;同时,添加注册表启动项,因该流氓软件名是随机生成,不同的电脑,感染的文件并不完全一致,增加了用户进行清除的难度。
  此外,与AV终结者相似,8749的自我保护意识非常强,如终止安全修复工具、将自身隐藏在QQ等目录中,并且插入QQ进程,以绕过反病毒软件的监控。而这种从过去的发掘系统漏洞、攻击杀毒软件转向攻击通用软件的技术可以说是目前较新的病毒攻击手段。用户一旦中招,不但相关的修复工具、杀毒软件被禁用,而且只要用户打开带有“8749病毒”、“8749专杀”、“清除8749”字样的窗口,窗口即刻被关闭。
  值得一提的是,此次8749的返攻不但将反病毒软件作为攻击目标,而且还将曾经一些影响比较大的流氓软件飘雪、7939等一同进行打击,可见病毒之间“抢地盘”、“黑吃黑”的趋势也更加明朗。
  业内人士指出,流氓软件8749极有可能与www.8749.com <--(不要点击这个网站)网站有关,据了解,该网站为一导航类网站,与hao123非常相似,而流氓软件8749的一个特征就是阻止用户登陆hao123网站,因此,8749网站很难摆脱利用不正当竞争手段进行攻击竞争对手的嫌疑。
  据悉,2006年流氓软件大规模爆发,用户怨声载道,金山等反病毒厂商纷纷发布专门针对流氓软件的清除工具,在大规模的围剿之下,流氓软件数量骤减;进入2007年,流氓软件仿佛销声匿迹,很少有影响力较大的流氓软件出现,而此次8749的出现再一次给广大用户敲响了警钟,流氓软件并没有消失,而是在不断的采用新的技术,肆机作案,用户以及各大安全厂商不可掉以轻心。
  基于8749传播迅速以及影响范围比较广,引起了金山毒霸反病毒监测中心的高度重视,金山反病毒工程师已经进行了详细的样本分析,广大用户可登陆www.duba.net免费下载金山毒霸系统清理专家,升级到最新版本即可查杀。

[ 本帖最后由 水星人 于 2007-7-30 18:48 编辑 ]
你静静地居住在我的心里,如同满月居于夜空!
成都巽风 发表于 2007-7-29 13:57 | 显示全部楼层 来自: 中国–四川–成都–龙泉驿区 电信
俺弟弟的電腦中這個招了,昨天搞了我半天才折騰乾淨,簡直就是毒窩。
回复 顶~ 砸~

使用道具 举报

 楼主| 水星人 发表于 2007-7-29 14:57 | 显示全部楼层 来自: 中国–辽宁–本溪–平山区 联通/天翔网苑(南地解放南2路)
怎么弄好的?能不能把方法发上来?
回复 顶~ 砸~

使用道具 举报

花楹 发表于 2007-7-29 16:32 | 显示全部楼层 来自: 中国–天津–天津–河东区 联通

回复 #3 水星人 的帖子

最简单的方法还是重新格机子,要不就得跟注册表玩命~~
回复 顶~ 砸~

使用道具 举报

lisunboy 发表于 2007-7-29 17:14 | 显示全部楼层 来自: 中国–广东–深圳 电信
提示: 作者被禁止或删除 内容自动屏蔽
回复 顶~ 砸~

使用道具 举报

花楹 发表于 2007-7-29 17:36 | 显示全部楼层 来自: 中国–天津–天津–河东区 联通
用户: lisunboy 在文中写到:
呵呵~~最好的方法是安装个还原精灵。。。。

备份机器里的数据,不过这个病毒肯定会减慢运行速度啊
回复 顶~ 砸~

使用道具 举报

DirectX2 发表于 2007-7-29 18:22 | 显示全部楼层 来自: 中国–福建–福州 电信
最好的防范方法就是装个LINUX
回复 顶~ 砸~

使用道具 举报

 楼主| 水星人 发表于 2007-7-29 18:57 | 显示全部楼层 来自: 中国–辽宁–本溪 电信

回复 #4 花楹 的帖子

那如果硬盘里要是有重要资料呢?总不能再接一块硬盘吧。
回复 顶~ 砸~

使用道具 举报

 楼主| 水星人 发表于 2007-7-29 18:58 | 显示全部楼层 来自: 中国–辽宁–本溪 电信

回复 #7 DirectX2 的帖子

Linux毕竟没有Windows用的那么广,而且在Linux下,Windows的程序根据就运行不了。我觉得还是应该掌握在不删除硬盘数据的条件下,清除病毒的方法。
回复 顶~ 砸~

使用道具 举报

LAMOST 发表于 2007-7-29 19:46 | 显示全部楼层 来自: 中国–天津–天津–南开区 联通
我还是喜欢手动杀毒 不喜欢总去重做系统
回复 顶~ 砸~

使用道具 举报

花楹 发表于 2007-7-29 20:36 | 显示全部楼层 来自: 中国–天津–天津–河东区 联通
用户: 水星人 在文中写到:
那如果硬盘里要是有重要资料呢?总不能再接一块硬盘吧。

再接一块硬盘可能会连着一起感染...
回复 顶~ 砸~

使用道具 举报

jupiter1186 发表于 2007-7-29 21:29 | 显示全部楼层 来自: 中国–天津–天津–南开区 联通
我的天!什么世道.....................
回复 顶~ 砸~

使用道具 举报

寻找拉玛 发表于 2007-7-29 22:29 | 显示全部楼层 来自: 中国–广西–钦州 电信
这年头怎么这么多流氓软件
回复 顶~ 砸~

使用道具 举报

pcet 发表于 2007-7-29 22:39 | 显示全部楼层 来自: 中国–广东–湛江 电信
前天才把办公室的电脑重新装了,原来就是这8749,早看到这文章就不用重装了
回复 顶~ 砸~

使用道具 举报

jupiter1186 发表于 2007-7-29 22:43 | 显示全部楼层 来自: 中国–天津–天津–南开区 联通
这个病毒传播途径是什么呢?    
回复 顶~ 砸~

使用道具 举报

花楹 发表于 2007-7-30 11:07 | 显示全部楼层 来自: 中国–天津–天津–河东区 联通
用户: jupiter1186 在文中写到:
这个病毒传播途径是什么呢?    

只要你想得到的都有可能~~
回复 顶~ 砸~

使用道具 举报

 楼主| 水星人 发表于 2007-7-30 12:19 | 显示全部楼层 来自: 中国–辽宁–本溪 联通
所以请还没有中此病毒的同好,升级杀毒软件。否则有可能病毒下一个攻击的目标就是你的电脑。
回复 顶~ 砸~

使用道具 举报

快乐糊涂虫 发表于 2007-7-30 12:21 | 显示全部楼层 来自: 中国–湖北–武汉 电信
但愿别碰到这种病毒::0023::
回复 顶~ 砸~

使用道具 举报

luoliantong1994 发表于 2007-7-30 12:48 | 显示全部楼层 来自: 中国–广东–广州 E家宽带
提示: 作者被禁止或删除 内容自动屏蔽
回复 顶~ 砸~

使用道具 举报

花楹 发表于 2007-7-30 18:12 | 显示全部楼层 来自: 中国–天津–天津–河东区 联通

回复 #17 水星人 的帖子

自动升级~~::
回复 顶~ 砸~

使用道具 举报

本版积分规则

APP下載|手机版|爱牧夫天文淘宝店|牧夫天文网 ( 公安备案号21021102000967 )|网站地图|辽ICP备19018387号

GMT+8, 2025-5-6 04:31 , Processed in 0.081335 second(s), 9 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表