起源
一種名為8749的流氓軟體正在網際網路上大肆傳播,並上演了一場“黑吃黑”的流氓軟體大戰,不但大量用戶IE首頁被篡改,而且一些曾經極具影響力的同類“流氓”軟體也被攻擊。由於該流氓軟體採用了上半年毒王AV終結者的一些最新的病毒攻擊技術,故普通用戶很難徹底清除。
特徵
反病毒專家戴光劍表示,流氓軟體8749不但具備流氓軟體的一些基本特性,而且採用了現代最流行的病毒攻擊手段,如刪除系統檔案、破壞安全模式等等,流氓軟體病毒化特徵非常明顯。
專家表示,8749可通過刪除清空註冊表SAFEMODE下的所有項目,破壞安全模式,使用戶不能進入安全模式調試系統;同時,添加註冊表啟動項,因該流氓軟體名是隨機生成,不同的電腦,感染的檔案並不完全一致,增加了用戶進行清除的難度。
破壞性
此外,與AV終結者相似,8749的自我保護意識非常強,如終止安全修復工具、將自身隱藏在QQ等目錄中,並且插入QQ進程,以繞過反病毒軟體的監控。而 這種從過去的發掘系統漏洞、攻擊防毒軟體轉向攻擊通用軟體的技術可以說是目前較新的病毒攻擊手段。用戶一旦中招,不但相關的修復工具、防毒軟體被禁用,而 且只要用戶打開帶有“8749病毒”、“8749專殺”、“清除8749”字樣的視窗,視窗即刻被關閉。
值得一提的是,此次8749的返攻不但將反病毒軟體作為攻擊目標,而且還將曾經一些影響比較大的流氓軟體piaoxue、7939等一同進行打擊,可見病毒之間“搶地盤”的趨勢也更加明朗。
業內人士指出,流氓軟體8749極有可能與一個域名為8479的導航網站有關,據了解,該網站為一導航類網站,與hao123非常相似,而流氓軟體 8749的一個特徵就是阻止用戶登入hao123網站,因此,8749網站很難擺脫利用不正當競爭手段進行攻擊競爭對手的嫌疑。
反病毒
據悉,2006年流氓軟體大規模爆發,用戶怨聲載道,反病毒廠商紛紛發布專門針對流氓軟體的清除工具,在大規模的圍剿之下,流氓軟體數量驟減;進入 2007年,流氓軟體仿佛銷聲匿跡,很少有影響力較大的流氓軟體出現,而此次8749的出現再一次給廣大用戶敲響了警鐘,流氓軟體並沒有消失,而是在不斷 的採用新的技術,肆機作案,用戶以及各大安全廠商不可掉以輕心。
解決辦法
最新,很多用戶的電腦主頁被篡改,而且無法通過正常途徑修改這個主頁。
金山首先病毒專殺工具,專門殺掉8749病毒的
8749病毒的介紹:
1、此木馬病毒具有監控標題欄,關鍵字很嚴密的特性,例如“專”和“殺”不能在一起出現,一起就會關閉,打空格干擾碼都不行,強!
2、程式、網頁等標題或內容有360、防毒、AV、終結者、金山、江民、卡巴、瑞星、專殺、安全、防毒等詞語在標題出現的就會被關閉窗體所對應的進程,小編:這關鍵字實在太強了……
3、安全模式註冊表被破壞,無法進入安全模式,隨機名進入QQ目錄,植入DLL檔案,用於重生!
病毒的詳細分析報告
病毒行為
8749病毒的行為:
1、使用刪除檔案,移動檔案,寫入空信息等三種方式清空HOST檔案
2、病毒利用檔案占用技術,實現對自身程式檔案的保護
3、修改註冊表鍵,禁用XP的系統還原
Software\Microsoft\Internet Explorer\Search
Software\Microsoft\Internet Explorer\Main
4、添加註冊表啟動項,因病毒名是隨機生成,不同的電腦,感染的檔案並不完全一致。修改註冊表HKLM\software\microsoft\windows\currentversion\runonce,實現自動註冊組件。
5、破壞安全模式(清空註冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot下的所有項目),使你不能進入安全模式調試系統。啟動系統到安全模式會藍屏。
6、終止所有包含下列字元的視窗的進程。
btbaicai
wopticlean
360safe
8749病毒
8749專殺
卡卡
安全衛士
IE修復
清除8749
刪除8749
7.子DLL,每20分鐘從h**p://up. yinlew .com :8080/hellohost515.ini?p=%s&t=%d下載一個要阻止訪問的網站列表,下載後的檔案保存在%sys32dir%\andttrs檔案中。類似以下內容:
查殺招數
最近素有小強稱謂的8749病毒肆虐網際網路,不少朋友的電腦都接連中招了,那么要怎樣殺8749病毒呢?
1、下載火狐瀏覽器,點擊下載Firefox
原因:因為IE已經被8749控制,只要輸入8749就會被關閉,同時,輸入360、瑞星等關鍵字也會被關閉,而經過不斷的試驗,火狐瀏覽器可以進入360論壇,儘管輸入“8749專殺”等關鍵字還是會關閉,但基本上可以較為安全的進行瀏覽了。
2、在火狐瀏覽器的google搜尋欄里輸入“金山清理專家”,下載後第一時間進行更新,然後斷開網路,進行掃描,就可以發現“8749”的蹤跡了,然後進行清理。
原因:面對8749的肆虐,金山公司這一次可以說是走在了所有防毒公司的前頭,是他們最先做出了8749的專殺工具,作為一名普通的網民,我向他們表示感謝!
反思:其實,這一次8749的失誤是,只劫持了IE,但對火狐瀏覽器沒有辦法。如果這個混蛋連火狐等非IE瀏覽器進行劫持的話,我在自己的機器上是很難上網查找解決方案的。
最近被網友稱為“蟑螂“小強”的頑固病毒8749大肆泛濫,“8749”病毒採用了上半年毒王AV終結者的一些最新的病毒攻擊技術,具有“百殺不死”的能力,目前網上流行的AV專殺工具也對其毫無辦法。中毒後,主頁被死鎖為,攔截安全軟體和防毒的啟動,攔截安全相關的網站,並自動複製到QQ的資料夾中,用於重生。
>>>瘋狂篡改IE主頁 8749病毒再生新變種
其他招數
[來源]新華網 2007-08-22 14:51:41
日前,瘋狂篡改用戶IE主頁的8749病毒再生新變種b,破壞力更強,不僅可終止用戶電腦內的防毒軟體,甚至可刪除某些防毒軟體的相關檔案,導致該防毒軟體徹底無法使用。
金山反病毒工程師戴光劍表示,8749變種b是一個破壞作業系統,防毒軟體的病毒。該病毒會破壞安全模式,關閉某些著名防毒軟體的進程並刪除其檔案,使得其他病毒不會被反病毒軟體查殺,能夠肆意破壞系統。如果用戶登錄某些防毒軟體廠商站點或上網搜尋與防毒有關的信息時,瀏覽器會自動轉到百度首頁,使得用戶無法通過網路求助。
針對8749變種b的傳播特點,金山毒霸反病毒中心及時更新了8749專殺工具,用戶可登錄下載。如果用戶無法正常打開專殺下載頁面,也可通過正常電腦進行下載並複製到隨身碟內,然後連線到自己的電腦進行查殺。
金山毒霸反病毒專家還建議用戶登錄金山毒霸官網免費下載最新版本的金山系統清理專家2.0進行預防。此外,用戶也可利用清理專家2.0為自己的電腦進行一個健康評分,防患於未然。