8749病毒是一個(gè)典型的病毒化的流氓軟件，中8749病毒后的典型現(xiàn)象是主頁(yè)被鎖定為www.8749.com。在短短幾天之間，8749病毒已經(jīng)出現(xiàn)了數(shù)個(gè)變種。以變種出現(xiàn)的速度來(lái)看，估計(jì)該流氓軟件會(huì)很快在互聯(lián)網(wǎng)大規(guī)模傳播。

　　病毒行為：

　　1.使用刪除文件，移動(dòng)文件，寫(xiě)入空信息等三種方式清空HOST文件

　　2.病毒利用文件占用技術(shù)，實(shí)現(xiàn)對(duì)自身程序文件的保護(hù)

　　3.修改注冊(cè)表鍵，禁用XP的系統(tǒng)還原

　　Software\Microsoft\Internet Explorer\Search

　　Software\Microsoft\Internet Explorer\Main

　　4.添加注冊(cè)表啟動(dòng)項(xiàng)，因病毒名是隨機(jī)生成，不同的電腦，感染的文件并不完全一致。修改注冊(cè)表HKLM\software\microsoft\windows\currentversion\runonce，實(shí)現(xiàn)自動(dòng)注冊(cè)組件。

　　5.破壞安全模式(清空注冊(cè)表SAFEMODE下的所有項(xiàng)目)，使你不能進(jìn)入安全模式調(diào)試系統(tǒng)。

　　6.終止所有包含下列字符的窗口的進(jìn)程。

　　btbaicai

　　wopticlean

　　360safe

　　8749病毒

　　8749專殺

　　卡卡

　　安全衛(wèi)士

　　IE修復(fù)

　　8749.com病毒

　　清除8749

　　刪除8749

　　7.子DLL，每20分鐘從http://up.yinlew.com:8080/hellohost515.ini?p=%s&t=%d下載一個(gè)要阻止訪問(wèn)的網(wǎng)站列表，下載后的文件保存在%sys32dir%\andttrs文件中。類似以下內(nèi)容：

　　125.91.1.20 www.kzdh.com

　　125.91.1.20 www.7255.com

　　125.91.1.20 www.7322.com

　　125.91.1.20 www.7939.com

　　125.91.1.20 www.piaoxue.com

　　125.91.1.20 www.feixu.net

　　125.91.1.20 www.6781.com

　　125.91.1.20 www.7b.com.cn

　　125.91.1.20 www.918188.com

　　125.91.1.20 hao.allxue.com

　　125.91.1.20 good.allxue.com

　　125.91.1.20 baby.allxue.com

　　125.91.1.20 www.allxue.com

　　125.91.1.20 about.lank.la

　　125.91.1.20 www.x114x.com

　　125.91.1.20 www.37ss.com

　　125.91.1.20 www.7k.cc

　　125.91.1.20 www.73ss.com

　　125.91.1.20 www.hao123.com

　　125.91.1.20 www.81915.com

　　125.91.1.20 www.9991.com

　　125.91.1.20 www.my123.com

　　125.91.1.20 www.haokan123.com

　　125.91.1.20 www.5566.net

　　125.91.1.20 www.gjj.cc

　　125.91.1.20 www.2345.com

　　125.91.1.20 www.123wa.com

　　125.91.1.20 www.ku886.com

　　125.91.1.20 www.5icrack.com

　　125.91.1.20 www.jjol.cn

　　125.91.1.20 www.xinhai168.com

　　125.91.1.20 ooooos.com

　　125.91.1.20 www.ooooos.com

　　125.91.1.20 www.8757.com

　　125.91.1.20 4199.5009.com

　　125.91.1.20 www.13886.cn

　　125.91.1.20 www.8757.com

　　125.91.1.20 www.baidu345.com

　　125.91.1.20 www.dedewang.com

　　125.91.1.20 allxun.5009.cn

　　125.91.1.20 4199.5009.cn

　　125.91.1.20 yahoo.5009.cn

　　125.91.1.20 tom.5009.cn

　　125.91.1.20 zh130.5009.cn

　　125.91.1.20 piaoxue.5009.cn

　　125.91.1.20 3448.5009.cn

　　125.91.1.20 ttmp3.5009.cn

　　125.91.1.20 fx120.5009.cn

　　125.91.1.20 7939.5009.cn

　　125.91.1.20 99488.5009.cn

　　125.91.1.20 7333.5009.cn

　　125.91.1.20 www.ld123.com

　　125.91.1.20 www.anyiba.com

　　125.91.1.20 www.999991.cn

　　125.91.1.20 www.hao123.cn

　　125.91.1.20 www.3721.com

　　125.91.1.20 www.haol23.com

　　125.91.1.20 haol23.com

　　8.生成與子DLL同名的SYS驅(qū)動(dòng)程序，驅(qū)動(dòng)程序監(jiān)控自身服務(wù)注冊(cè)項(xiàng)(獨(dú)立線程監(jiān)控、WINLOGON啟動(dòng)時(shí)監(jiān)控)，如果被安全軟件修改，病毒會(huì)再改回來(lái)。

　　9.IRP HOOK最底層的文件系統(tǒng)(IRP_MJ_SET_INFORMATION)，保護(hù)文件，不能刪除，不能更名。

　　10.掛鉤ZwCreateFile，在其訪問(wèn)system32\drivers\etc\hosts時(shí)，將該訪問(wèn)操作重定向到%sys32dir%\andttrs。相當(dāng) 于用這個(gè)andttrs取代了系統(tǒng)的hosts文件，達(dá)到跟修改HOST文件相同的效果，用戶只能通過(guò)修改andttrs或恢復(fù)HOOK阻止本地域名綁定。

　　11.掛鉤ZwLoadDriver,禁止ICESWORD(冰刃)的驅(qū)動(dòng)加載。

　　附錄:流氓軟件卷土重來(lái) 8749上演“黑吃黑”

　　來(lái)自金山毒霸反病毒中心最新消息，一名為8749的流氓軟件正在互聯(lián)網(wǎng)上大肆傳播，并上演了一場(chǎng)“黑吃黑”的流氓軟件大戰(zhàn)，不但大量用戶IE首頁(yè)被篡改為www.8749.com,而且一些曾經(jīng)極具影響力的同類“流氓”軟件也被攻擊。由于8749流氓軟件采用了上半年毒王AV終結(jié)者的一些最新的病毒攻擊技術(shù)，故普通用戶很難徹底清除。

　　金山毒霸反病毒專家戴光劍表示，流氓軟件8749不但具備流氓軟件的一些基本特性，而且采用了現(xiàn)代最流行的病毒攻擊手段，如刪除系統(tǒng)文件、破壞安全模式等等，流氓軟件病毒化特征非常明顯。

　　專家表示，8749可通過(guò)刪除清空注冊(cè)表SAFEMODE下的所有項(xiàng)目，破壞安全模式，使用戶不能進(jìn)入安全模式調(diào)試系統(tǒng);同時(shí)，添加注冊(cè)表啟動(dòng)項(xiàng)，因該流氓軟件名是隨機(jī)生成，不同的電腦，感染的文件并不完全一致，增加了用戶進(jìn)行清除的難度。

　　此外，與AV終結(jié)者相似，8749的自我保護(hù)意識(shí)非常強(qiáng)，如終止安全修復(fù)工具、將自身隱藏在QQ等目錄中，并且插入QQ進(jìn)程，以繞過(guò)反病毒軟件的監(jiān)控。而這種從過(guò)去的發(fā)掘系統(tǒng)漏洞、攻擊殺毒軟件轉(zhuǎn)向攻擊通用軟件的技術(shù)可以說(shuō)是目前較新的病毒攻擊手段。用戶一旦中招，不但相關(guān)的修復(fù)工具、殺毒軟件被禁用，而且只要用戶打開(kāi)帶有“8749病毒”、“8749專殺”、“清除8749”字樣的窗口，窗口即刻被關(guān)閉。

　　值得一提的是，此次8749的返攻不但將反病毒軟件作為攻擊目標(biāo)，而且還將曾經(jīng)一些影響比較大的流氓軟件飄雪、7939等一同進(jìn)行打擊，可見(jiàn)病毒之間“搶地盤(pán)”、“黑吃黑”的趨勢(shì)也更加明朗。

　　業(yè)內(nèi)人士指出，流氓軟件8749極有可能與www.8749.com網(wǎng)站有關(guān)，據(jù)了解，該網(wǎng)站為一導(dǎo)航類網(wǎng)站，與hao123非常相似，而流氓軟件8749的一個(gè)特征就是阻止用戶登陸hao123網(wǎng)站，因此，8749網(wǎng)站很難擺脫利用不正當(dāng)競(jìng)爭(zhēng)手段進(jìn)行攻擊競(jìng)爭(zhēng)對(duì)手的嫌疑。

　　據(jù)悉，2006年流氓軟件大規(guī)模爆發(fā)，用戶怨聲載道，金山等反病毒廠商紛紛發(fā)布專門(mén)針對(duì)流氓軟件的清除工具，在大規(guī)模的圍剿之下，流氓軟件數(shù)量驟減;進(jìn)入2007年，流氓軟件仿佛銷聲匿跡，很少有影響力較大的流氓軟件出現(xiàn)，而此次8749的出現(xiàn)再一次給廣大用戶敲響了警鐘，流氓軟件并沒(méi)有消失，而是在不斷的采用新的技術(shù)，肆機(jī)作案，用戶以及各大安全廠商不可掉以輕心。

　　基于8749傳播迅速以及影響范圍比較廣，引起了金山毒霸反病毒監(jiān)測(cè)中心的高度重視，金山反病毒工程師已經(jīng)進(jìn)行了詳細(xì)的樣本分析，廣大用戶可登陸www.duba.net免費(fèi)下載金山毒霸系統(tǒng)清理專家，升級(jí)到最新版本即可查殺。