Guest: Register | Login | Online | Home
Tubes china » Forum » 网络安全、电脑技术 » 8749流氓变种对抗清理专家,毒霸发布8... 访问量:2048

标题:8749流氓变种对抗清理专家,毒霸发布8749专杀工具
 
weber

等级:Administrator
文章:22094
积分:203190
门派:
注册:2007-1-25 11:50:25
 
 
8749流氓变种对抗清理专家,毒霸发布8749专杀工具
8749病毒每次入侵后生成的病毒程序是随机的,不同的电脑中毒后会发现不同的病毒程序。病毒还破坏了安全模式,并监视注册表键,即使您使用金山毒霸的AV终结者专杀工具,也不能在病毒运行时,修复被破坏的安全模式,造成手工解除病毒非常困难。

上周末,流氓软件8749再次更新,新版本针对金山清理专家做了改进,导致金山清理专家运行失败。毒霸的解决方案正在更新中,敬请期待。

以下是新版8749流氓软件的分析报告。

1.保护模块

1.1关闭出现特定字符串的窗口
一些常见安全软件的字符串都在列表,即使用IE打开搜索页面,搜索这些字符,窗口也会被关闭。出问题的时候,用户也无法求助于搜索引擎。当前版本中,被屏蔽的字符列表包含(各版本有所差异):
360safe
Wopticlean
Kakasetup
ras.exe
金山毒霸
Btbaicai
Wopticlean
360safe
卡卡
IE修复
安全卫士
病毒
流氓
专杀
锁定浏览器
修改
修复
清除
删除
中了百度知道

1.2反金山清理专家(本版新增功能)
关闭KASMain.exe进程
清除SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce下的KASTask

1.3劫持HOST文件
当前版本列表(各版本有所不同):
125.91.1.20 www.37021.net
125.91.1.20 37021.net
125.91.1.20 5235.net
125.91.1.20 www.5235.net
125.91.1.20 www.7255.com
125.91.1.20 www.2345.com
125.91.1.20 www.9991.com
125.91.1.20 www.haol23.net
125.91.1.20 www.kzdh.com
125.91.1.20 www.qu123.com
127.0.0.1 www.duba.net
127.0.0.1 duba.net
127.0.0.1 bbs.360safe.com
127.0.0.1 www.okbihoo.cn
127.0.0.1 okbihoo.cn

1.4系统DLL注入QQ(病毒启动10分钟之后)
利用LOADLIBRARY在不传入全路径的情况下会先从当前目录尝试读取DLL的特性,在系统目录复制rasadhlp.dll,通过在该DLL的输入目录中添加自己的DLL,以达到随QQ一起启动的目的。

1.5文件占用
以CreateFile打开自己的程序文件,使文件处于被占用的状态。

1.6禁用XP自带的系统还原
在SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore的DisableSR键值改成1。

1.7破坏安全模式
把System\CurrentControlSet\Control\SafeBoot下的所有注册表项都清空

1.8全局钩子INLINE HOOK REGENUMVALUE
5字节的HOT PATCH,由于消息钩子是在窗口出现之后才把对应的DLL加载到内存中的,也就是说在多线程的环境下,该病毒有可能导致程序崩溃。该钩子的作用是隐藏自己在注册表中的启动项

1.9加密文件名,注册表启动项。
其算法主要是根据本地C盘信息,根据其2进制值,对编码表的长度求余,获取编码表中对应的字符生成的。根据不同需要,生成规则略有差异。

1.10改写自身程序文件时间
获取kernel32.dll的创建时间修改时间和访问时间,修改自身文件时间与其相一致,逃避根据文件创建时间的检查。

2.功能模块

2.1修改IE,将搜索主页和默认主页修改为http://www.8749.com
Software\Microsoft\Internet Explorer\Search
Software\Microsoft\Internet Explorer\Main
值得注意的是这里使用了慢速概念,在程序运行后的10分钟之后(Sleep函数)才实现这部分功能。和前几个版本有所不同

2.2远程控制(一个非常危险的信号,除了劫持浏览器,被远程控制后,可以带来更严重的影响)
最基本的远程控制模块,包括一个以当前版本号,网络适配器信息和C盘的硬件信息为标记,发送数据包通知服务端在线的模块,以及能够响应服务端命令,下载并执行程序的模块。

2.3自动更新
当版本号与服务端不一致的时候,会自动下载最新版并覆盖原来的版本。

解决方案(新版本待更新)
1.使用金山清理专家,程序会自动检测恶意软件,检测到8749病毒后,点击立即清除。

2.立即重启电脑,使用金山清理专家修复被病毒破坏的注册表,修复被病毒添加的加载项

3.访问http://zhuansha.duba.net/259.shtml下载AV终结者专杀工具修复被破坏的安全模式(亲自染毒试了一下,这一步不是必须的。清理专家的修复功能可以达到相同的效果。不过AV终结者病毒仍然还是很多,这个工具还是推荐各位下载)

4.右键单击我的电脑,选择属性,点击“系统还原”标签页,把禁用的勾去掉。建议至少要选择保护C分区,在系统遇到紧急故障时,利用系统还原可以减少恢复系统的成本。



清理专家2.0下载地址1: http://cu003.www.duba.net/duba/tools/syscleaner20_inst/KASSetup0720.EXE

清理专家2.0下载地址2: http://cu003.www.duba.net/duba/tools/syscleaner20_inst/KASSetup0720.EXE


-------------------------------------------------------------------------
TubesChina首席原生态无公害无污染绿色纯天然纯洁好男人
*****************************************
上帝说:“要有光。”我说:“不批准!”于是便有了黑夜.
 
 发表于:07-7-31 11:22:42
  编辑|引用|
我要回复 | 快速回复

标题: 
内容: 
TubesChinaForum
Powered By www.tubeschina.com