8749病毒詳細分析報告

　　8749病毒是一個典型的病毒化的流氓軟件，中8749病毒後的典型現象是主頁被鎖定為www.8749.com。在短短幾天之間，8749病毒已經出現了數個變種。以變種出現的速度來看，估計該流氓軟件會很快在互聯網大規模傳播。

　　病毒行為：

　　1.使用刪除文件，移動文件，寫入空信息等三種方式清空HOST文件

　　2.病毒利用文件占用技術，實現對自身程序文件的保護

　　3.修改注冊表鍵，禁用XP的系統還原

　　SoftwareMicrosoftInternet ExplorerSearch

　　SoftwareMicrosoftInternet ExplorerMain

　　4.添加注冊表啟動項，因病毒名是隨機生成，不同的電腦，感染的文件並不完全一致。修改注冊表HKLMsoftwaremicrosoftwindowscurrentversionrunonce，實現自動注冊組件。

　　5.破壞安全模式(清空注冊表SAFEMODE下的所有項目)，使你不能進入安全模式調試系統。

　　6.終止所有包含下列字符的窗口的進程。

　　btbaicai

　　wopticlean

　　360safe

　　8749病毒

　　8749專殺

　　卡卡

　　安全衛士

　　IE修復

　　8749.com病毒

　　清除8749

　　刪除8749

　　7.子DLL，每20分鐘從http://up.yinlew.com:8080/hellohost515.ini?p=%s&t=%d下載一個要阻止訪問的網站列表，下載後的文件保存在%sys32dir%andttrs文件中。類似以下內容：

　　125.91.1.20 www.kzdh.com

　　125.91.1.20 www.7255.com

　　125.91.1.20 www.7322.com

　　125.91.1.20 www.7939.com

　　125.91.1.20 www.piaoxue.com

　　125.91.1.20 www.feixu.net

　　125.91.1.20 www.6781.com

　　125.91.1.20 www.7b.com.cn

　　125.91.1.20 www.918188.com

　　125.91.1.20 hao.allxue.com

　　125.91.1.20 good.allxue.com

　　125.91.1.20 baby.allxue.com

　　125.91.1.20 www.allxue.com

　　125.91.1.20 about.lank.la

　　125.91.1.20 www.x114x.com

　　125.91.1.20 www.37ss.com

　　125.91.1.20 www.7k.cc

　　125.91.1.20 www.73ss.com

　　125.91.1.20 www.hao123.com

　　125.91.1.20 www.81915.com

　　125.91.1.20 www.9991.com

　　125.91.1.20 www.my123.com

　　125.91.1.20 www.haokan123.com

　　125.91.1.20 www.5566.net

　　125.91.1.20 www.gjj.cc

　　125.91.1.20 www.2345.com

　　125.91.1.20 www.123wa.com

　　125.91.1.20 www.ku886.com

　　125.91.1.20 www.5icrack.com

　　125.91.1.20 www.jjol.cn

　　125.91.1.20 www.xinhai168.com

　　125.91.1.20 ooooos.com

　　125.91.1.20 www.ooooos.com

　　125.91.1.20 www.8757.com

　　125.91.1.20 4199.5009.com

　　125.91.1.20 www.13886.cn

　　125.91.1.20 www.8757.com

　　125.91.1.20 www.baidu345.com

　　125.91.1.20 www.dedewang.com

　　125.91.1.20 allxun.5009.cn

　　125.91.1.20 4199.5009.cn

　　125.91.1.20 yahoo.5009.cn

　　125.91.1.20 tom.5009.cn

　　125.91.1.20 zh130.5009.cn

　　125.91.1.20 piaoxue.5009.cn

　　125.91.1.20 3448.5009.cn

　　125.91.1.20 ttmp3.5009.cn

　　125.91.1.20 fx120.5009.cn

　　125.91.1.20 7939.5009.cn

　　125.91.1.20 99488.5009.cn

　　125.91.1.20 7333.5009.cn

　　125.91.1.20 www.ld123.com

　　125.91.1.20 www.anyiba.com

　　125.91.1.20 www.999991.cn

　　125.91.1.20 www.hao123.cn

　　125.91.1.20 www.3721.com

　　125.91.1.20 www.haol23.com

　　125.91.1.20 haol23.com

　　8.生成與子DLL同名的SYS驅動程序，驅動程序監控自身服務注冊項(獨立線程監控、WINLOGON啟動時監控)，如果被安全軟件修改，病毒會再改回來。

　　9.IRP HOOK最底層的文件系統(IRP_MJ_SET_INFORMATION)，保護文件，不能刪除，不能更名。

　　10.掛鉤ZwCreateFile，在其訪問system32driversetchosts時，將該訪問操作重定向到%sys32dir%andttrs。相當 於用這個andttrs取代了系統的hosts文件，達到跟修改HOST文件相同的效果，用戶只能通過修改andttrs或恢復HOOK阻止本地域名綁定。

　　11.掛鉤ZwLoadDriver,禁止ICESWORD(冰刃)的驅動加載。

　　附錄:流氓軟件卷土重來 8749上演“黑吃黑”

　　來自金山毒霸反病毒中心最新消息，一名為8749的流氓軟件正在互聯網上大肆傳播，並上演了一場“黑吃黑”的流氓軟件大戰，不但大量用戶IE首頁被篡改為www.8749.com,而且一些曾經極具影響力的同類“流氓”軟件也被攻擊。由於8749流氓軟件采用了上半年毒王AV終結者的一些最新的病毒攻擊技術，故普通用戶很難徹底清除。

　　金山毒霸反病毒專家戴光劍表示，流氓軟件8749不但具備流氓軟件的一些基本特性，而且采用了現代最流行的病毒攻擊手段，如刪除系統文件、破壞安全模式等等，流氓軟件病毒化特征非常明顯。

　　專家表示，8749可通過刪除清空注冊表SAFEMODE下的所有項目，破壞安全模式，使用戶不能進入安全模式調試系統;同時，添加注冊表啟動項，因該流氓軟件名是隨機生成，不同的電腦，感染的文件並不完全一致，增加了用戶進行清除的難度。

　　此外，與AV終結者相似，8749的自我保護意識非常強，如終止安全修復工具、將自身隱藏在QQ等目錄中，並且插入QQ進程，以繞過反病毒軟件的監控。而這種從過去的發掘系統漏洞、攻擊殺毒軟件轉向攻擊通用軟件的技術可以說是目前較新的病毒攻擊手段。用戶一旦中招，不但相關的修復工具、殺毒軟件被禁用，而且只要用戶打開帶有“8749病毒”、“8749專殺”、“清除8749”字樣的窗口，窗口即刻被關閉。

　　值得一提的是，此次8749的返攻不但將反病毒軟件作為攻擊目標，而且還將曾經一些影響比較大的流氓軟件飄雪、7939等一同進行打擊，可見病毒之間“搶地盤”、“黑吃黑”的趨勢也更加明朗。

　　業內人士指出，流氓軟件8749極有可能與www.8749.com網站有關，據了解，該網站為一導航類網站，與hao123非常相似，而流氓軟件8749的一個特征就是阻止用戶登陸hao123網站，因此，8749網站很難擺脫利用不正當競爭手段進行攻擊競爭對手的嫌疑。

　　據悉，2006年流氓軟件大規模爆發，用戶怨聲載道，金山等反病毒廠商紛紛發布專門針對流氓軟件的清除工具，在大規模的圍剿之下，流氓軟件數量驟減;進入2007年，流氓軟件仿佛銷聲匿跡，很少有影響力較大的流氓軟件出現，而此次8749的出現再一次給廣大用戶敲響了警鐘，流氓軟件並沒有消失，而是在不斷的采用新的技術，肆機作案，用戶以及各大安全廠商不可掉以輕心。

　　基於8749傳播迅速以及影響范圍比較廣，引起了金山毒霸反病毒監測中心的高度重視，金山反病毒工程師已經進行了詳細的樣本分析，廣大用戶可登陸www.duba.net免費下載金山毒霸系統清理專家，升級到最新版本即可查殺。