发表于: 2007-07-27 04:45 | 显示全部 短消息 资料
字号: 1楼

警惕病毒化流氓软件--8479的骚扰

以下文章是从360安全论坛上拷贝下来的(原文注册表项表述易混淆,稍做修改),请大家注意对照机器症状是否与文章中的相似:

流氓软件病毒化--8749病毒详细分析报告

8749病毒是一个典型的病毒化的流氓软件,中8749病毒后的典型现象是主页被锁定为www.8749.com。在短短几天之间,8749病毒已经出现了数个变种。以变种出现的速度来看,估计该流氓软件会很快在互联网大规模传播。流氓软件8749不但具备流氓软件的一些基本特性,而且采用了现代最流行的病毒攻击手段,如删除系统文件、破坏安全模式等等,流氓软件病毒化特征非常明显。由于该流氓软件采用了上半年毒王AV终结者的一些最新的病毒攻击技术,故普通用户很难彻底清除。
病毒行为:
1.使用删除文件,移动文件,写入空信息等三种方式清空HOST文件
2.病毒利用文件占用技术,实现对自身程序文件的保护
3.修改注册表键,禁用XP的系统还原
Software/microsoft/Internet Explorer/Search
Software/Microsoft/Internet Explorer/Main
4.添加注册表启动项,因病毒名是随机生成,不同的电脑,感染的文件并不完全一致。修改注册表HKLM/software/microsoft/windows/currentversion/runonce,实现自动注册组件。
5.破坏安全模式(清空注册表HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot下的所有项目),使你不能进入安全模式调试系统。启动系统到安全模式会蓝屏
6.终止所有包含下列字符的窗口的进程。
btbaicai
wopticlean
360safe
8749病毒
8749专杀
卡卡
安全卫士
IE修复
8749.com病毒
清除8749
删除8749
7.子DLL,每20分钟从http://up.yinlew.com:8080/hellohost515.ini?p=%s&t=%d下载一个要阻止访问的网站列表,下载后的文件保存在%sys32dir%\andttrs文件中。类似以下内容:
125.91.1.20 www.kzdh.com
125.91.1.20 www.7255.com
125.91.1.20 www.7322.com
125.91.1.20 www.7939.com
125.91.1.20 www.piaoxue.com
125.91.1.20 www.feixu.net
125.91.1.20 www.6781.com
125.91.1.20 www.7b.com.cn
125.91.1.20 www.918188.com
125.91.1.20 hao.allxue.com
125.91.1.20 good.allxue.com
125.91.1.20 baby.allxue.com
125.91.1.20 www.allxue.com
125.91.1.20 about.lank.la
125.91.1.20 www.x114x.com
125.91.1.20 www.37ss.com
125.91.1.20 www.7k.cc
125.91.1.20 www.73ss.com
125.91.1.20 www.hao123.com
125.91.1.20 www.81915.com
125.91.1.20 www.9991.com
125.91.1.20 www.my123.com
125.91.1.20 www.haokan123.com
125.91.1.20 www.5566.net
125.91.1.20 www.gjj.cc
125.91.1.20 www.2345.com
125.91.1.20 www.123wa.com
125.91.1.20 www.ku886.com
125.91.1.20 www.5icrack.com
125.91.1.20 www.jjol.cn
125.91.1.20 www.xinhai168.com
125.91.1.20 ooooos.com
125.91.1.20 www.ooooos.com
125.91.1.20 www.8757.com
125.91.1.20 4199.5009.com
125.91.1.20 www.13886.cn
125.91.1.20 www.8757.com
125.91.1.20 www.baidu345.com
125.91.1.20 www.dedewang.com
125.91.1.20 allxun.5009.cn
125.91.1.20 4199.5009.cn
125.91.1.20 yahoo.5009.cn
125.91.1.20 tom.5009.cn
125.91.1.20 zh130.5009.cn
125.91.1.20 piaoxue.5009.cn
125.91.1.20 3448.5009.cn
125.91.1.20 ttmp3.5009.cn
125.91.1.20 fx120.5009.cn
125.91.1.20 7939.5009.cn
125.91.1.20 99488.5009.cn
125.91.1.20 7333.5009.cn
125.91.1.20 www.ld123.com
125.91.1.20 www.anyiba.com
125.91.1.20 www.999991.cn
125.91.1.20 www.hao123.cn
125.91.1.20 www.3721.com
125.91.1.20 www.haol23.com
125.91.1.20 haol23.com
8.生成与子DLL同名的SYS驱动程序,驱动程序监控自身服务注册项(独立线程监控、WINLOGON启动时监控),如果被安全软件修改,病毒会再改回来。
9.IRP HOOK最底层的文件系统(IRP_MJ_SET_INFORMATION),保护文件,不能删除,不能更名。
10.挂钩ZwCreateFile,在其访问system32\drivers\etc\hosts时,将该访问操作重定向到%sys32dir%\andttrs。相当 于用这个andttrs取代了系统的hosts文件,达到跟修改HOST文件相同的效果,用户只能通过修改andttrs或恢复HOOK阻止本地域名绑定。
11.挂钩ZwLoadDriver,禁止ICESWORD(冰刃)的驱动加载。

由于此恶意软件有入侵系统底层、终结多个杀软和安全软件、破坏安全模式的恶性后果,请中此流氓软件的朋友到我的网络硬盘(地址http://scj2007.ys168.com/)中的“常用软件”目录下下载“360||8四七久砖砂程序.rar”以及“不能进安全模式注册表导入.rar”这两个压缩文件。先用前者杀毒,再用后者恢复安全模式的注册表键值,以修复安全模式。
说明:
1、360||8四七久砖砂程序.rar这个文件请在下载后,解压前不要随便修改其名称,否则可能会被该恶意软件屏蔽造成解压后的可执行文件被IFEO;
2、不能进安全模式注册表导入.rar这个压缩文件包括2000/XP/2003三个操作系统版本的正常安全模式注册表键值导出文件,请对照自己的操作系统版本,在用前一个工具杀灭8479恶意软件后,选择正确操作系统版本的安全模式注册表文件双击导入,修复安全模式。
最后编辑2007-07-27 09:25:48