8749病毒详细分析报告
<div class="cnt"><p style="FONT-SIZE: 10pt; MARGIN: 0in;">病毒行为:</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"><span>1.</span><span>使用删除文件,移动文件,写入空信息等三种方式清空HOST文件</span></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"><span><br/></span></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"><span>2.</span><span>病毒利用文件占用技术,实现对自身程序文件的保护</span></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"><span><br/></span></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"><span>3.</span><span>修改注册表键,禁用XP的系统还原<br/></span></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">Software\Microsoft\Internet Explorer\Search</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">Software\Microsoft\Internet Explorer\Main</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"><br/></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"><span>4.</span><span>添加注册表启动项,因病毒名是随机生成,不同的电脑,感染的文件并不完全一致。修改注册表HKLM\software\microsoft\windows\currentversion\runonce,实现自动注册组件。</span></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"><span><br/></span></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"><span>5.</span><span>破坏安全模式(清空注册表SAFEMODE下的所有项目),使你不能进入安全模式调试系统。</span></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"><span><br/></span></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"><span>6.</span><span>终止所有包含下列字符的窗口的进程。</span></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">btbaicai</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">wopticlean</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">360safe</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">8749病毒</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">8749专杀</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">卡卡</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">安全卫士</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">IE修复</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">8749.com病毒</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">清除8749</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">删除8749</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"><span><br/></span></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"><span>7.</span><span>子</span><span>DLL</span><span>,每</span><span>20</span><span>分钟从</span><span>http://up.yinlew.com:8080/hellohost515.ini?p=%s&t=%d下载一个要阻止访问的网站列表</span><span>,下载后的文件保存在%sys32dir%\andttrs文件中。类似以下内容:</span></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 <a href="http://www.kzdh.com/">www.kzdh.com</a></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 www.7255.com</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 www.7322.com</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 www.7939.com</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 <a href="http://www.piaoxue.com/">www.piaoxue.com</a></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 <a href="http://www.feixu.net/">www.feixu.net</a></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 www.6781.com</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 www.7b.com.cn</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 www.918188.com</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 hao.allxue.com</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 good.allxue.com</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 baby.allxue.com</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 <a href="http://www.allxue.com/">www.allxue.com</a></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 about.lank.la</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 <a href="http://www.x114x.com/">www.x114x.com</a></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 www.37ss.com</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 www.7k.cc</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 www.73ss.com</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 <a href="http://www.hao123.com/">www.hao123.com</a></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 www.81915.com</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 www.9991.com</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 <a href="http://www.my123.com/">www.my123.com</a></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 <a href="http://www.haokan123.com/">www.haokan123.com</a></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 www.5566.net</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 <a href="http://www.gjj.cc/">www.gjj.cc</a></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 www.2345.com</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 www.123wa.com</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 <a href="http://www.ku886.com/">www.ku886.com</a></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 www.5icrack.com</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 <a href="http://www.jjol.cn/">www.jjol.cn</a></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 <a href="http://www.xinhai168.com/">www.xinhai168.com</a></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 ooooos.com</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 <a href="http://www.ooooos.com/">www.ooooos.com</a></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 www.8757.com</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 4199.5009.com</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 www.13886.cn</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 www.8757.com</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 <a href="http://www.baidu345.com/">www.baidu345.com</a></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 <a href="http://www.dedewang.com/">www.dedewang.com</a></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 allxun.5009.cn</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 4199.5009.cn</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 yahoo.5009.cn</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 tom.5009.cn</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 zh130.5009.cn</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 piaoxue.5009.cn</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 3448.5009.cn</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 ttmp3.5009.cn</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 fx120.5009.cn</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 7939.5009.cn</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 99488.5009.cn</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 7333.5009.cn</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 <a href="http://www.ld123.com/">www.ld123.com</a></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 <a href="http://www.anyiba.com/">www.anyiba.com</a></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 www.999991.cn</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 <a href="http://www.hao123.cn/">www.hao123.cn</a></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 www.3721.com</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 <a href="http://www.haol23.com/">www.haol23.com</a></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;">125.91.1.20 haol23.com</p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"><span><br/></span></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"><span>8.</span><span>生成与子DLL同名的SYS驱动程序,驱动程序监控自身服务注册项(独立线程监控、WINLOGON启动时监控),如果被安全软件修改,病毒会再改回来。</span></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"><span><br/></span></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"><span>9.</span><span>IRP HOOK最底层的文件系统(IRP_MJ_SET_INFORMATION),保护文件,不能删除,不能更名。</span></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"><span><br/></span></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"><span>10.</span><font color="#f70997"><span>挂钩ZwCreateFile,在其访问system32\drivers\etc\hosts时,将该访问操作重定向到%sys32dir%\andttrs。相当</span><span></span><span>于用这个</span><span>andttrs</span><span>取代了系统的</span><span>hosts</span><span>文件,达到跟修改HOST文件相同的效果,用户只能通过修改andttrs或恢复HOOK阻止本地域名绑定。</span></font></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"><span><br/><font color="#f70997"></font></span></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"><font color="#f70997"></font></p><p style="FONT-SIZE: 10pt; MARGIN: 0in;"><font color="#f70997"><span>11.</span><span>挂钩ZwLoadDriver,禁止ICESWORD(冰刃)的驱动加载。</span></font></p></div>
页:
[1]