用户名: 密码: 免费注册 忘记密码? 网站地图 | 加入收藏 | 设为首页
首页 | 新闻 | 工具 | 系统 | 办公 | 聊天 | 多媒体 | 网页 | 运营 | 平面 | 欣赏 | 数据库 | 程序 | 服务器 | 组网
网页 | 3dmax | Ghost | Windows Xp| Dreamweaver | photoshop | Flash | office | Alexa | Css | QQ | Asp | PHP | Jsp | Access
Flash MX 2004入门 | 网站推广策略 | CorelDRAW入门 | ASP学习 | 网站建设大师功 | Word入门
  iTbulo.com > 学院 > 软件新闻 > 病毒安全 > 正文
“8749”小强病毒作者揭秘
iTbulo.COM 2007-7-30 佚名()

 

8749病毒详细分析报告

  病毒行为:

  1、使用删除文件,移动文件,写入空信息等三种方式清空HOST文件
  2、病毒利用文件占用技术,实现对自身程序文件的保护
  3、修改注册表键,禁用XP的系统还原
Software\Microsoft\Internet Explorer\Search
Software\Microsoft\Internet Explorer\Main
  4、添加注册表启动项,因病毒名是随机生成,不同的电脑,感染的文件并不完全一致。修改注册表HKLM\software\microsoft\windows\currentversion\runonce,实现自动注册组件。
  5、破坏安全模式(清空注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot下的所有项目),使你不能进入安全模式调试系统。启动系统到安全模式会蓝屏。
  6、终止所有包含下列字符的窗口的进程。
  btbaicai
  wopticlean
  360safe
  8749病毒
  8749专杀
  卡卡
  安全卫士
  IE修复
  8749.com病毒
  清除8749
  删除8749
  7.子DLL,每20分钟从http://up.yinlew.com:8080/hellohost515.ini?p=%s&t=%d下载一个要阻止访问的网站列表,下载后的文件保存在%sys32dir%\andttrs文件中。类似以下内容:
  125.91.1.20 www.kzdh.com
  125.91.1.20 www.7255.com
  125.91.1.20 www.7322.com
  125.91.1.20 www.7939.com
  125.91.1.20 www.piaoxue.com
  125.91.1.20 www.feixu.net
  125.91.1.20 www.6781.com
  125.91.1.20 www.7b.com.cn
  125.91.1.20 www.918188.com
  125.91.1.20 hao.allxue.com
  125.91.1.20 good.allxue.com
  125.91.1.20 baby.allxue.com
  125.91.1.20 www.allxue.com
  125.91.1.20 about.lank.la
  125.91.1.20 www.x114x.com
  125.91.1.20 www.37ss.com
  125.91.1.20 www.7k.cc
  125.91.1.20 www.73ss.com
  125.91.1.20 www.hao123.com
  125.91.1.20 www.81915.com
  125.91.1.20 www.9991.com
  125.91.1.20 www.my123.com
  125.91.1.20 www.haokan123.com
  125.91.1.20 www.5566.net
  125.91.1.20 www.gjj.cc
  125.91.1.20 www.2345.com
  125.91.1.20 www.123wa.com
  125.91.1.20 www.ku886.com
  125.91.1.20 www.5icrack.com
  125.91.1.20 www.jjol.cn
  125.91.1.20 www.xinhai168.com
  125.91.1.20 ooooos.com
  125.91.1.20 www.ooooos.com
  125.91.1.20 www.8757.com
  125.91.1.20 4199.5009.com
  125.91.1.20 www.13886.cn
  125.91.1.20 www.8757.com
  125.91.1.20 www.baidu345.com
  125.91.1.20 www.dedewang.com
  125.91.1.20 allxun.5009.cn
  125.91.1.20 4199.5009.cn
  125.91.1.20 yahoo.5009.cn
  125.91.1.20 tom.5009.cn
  125.91.1.20 zh130.5009.cn
  125.91.1.20 piaoxue.5009.cn
  125.91.1.20 3448.5009.cn
  125.91.1.20 ttmp3.5009.cn
  125.91.1.20 fx120.5009.cn
  125.91.1.20 7939.5009.cn
  125.91.1.20 99488.5009.cn
  125.91.1.20 7333.5009.cn
  125.91.1.20 www.ld123.com
  125.91.1.20 www.anyiba.com
  125.91.1.20 www.999991.cn
  125.91.1.20 www.hao123.cn
  125.91.1.20 www.3721.com
  125.91.1.20 www.haol23.com
  125.91.1.20 haol23.com
  8、生成与子DLL同名的SYS驱动程序,驱动程序监控自身服务注册项(独立线程监控、WINLOGON启动时监控),如果被安全软件修改,病毒会再改回来。  
  9、IRP HOOK最底层的文件系统(IRP_MJ_SET_INFORMATION),保护文件,不能删除,不能更名。
  10、挂钩ZwCreateFile,在其访问system32\drivers\etc\hosts时,将该访问操作重定向到%sys32dir%\andttrs。相当 于用这个andttrs取代了系统的hosts文件,达到跟修改HOST文件相同的效果,用户只能通过修改andttrs或恢复HOOK阻止本地域名绑定。
  11、挂钩ZwLoadDriver,禁止ICESWORD(冰刃)的驱动加载。

上一页  [1] [2] [3] 下一页

文章搜索
相关资讯
相关文章 相关下载
没有相关文章
焦点信息
· 比ACDSee更强更好用 Picasa中文版
· 历史上最强的浏览器:Firefox简体中文版下载
· “8749”小强病毒作者揭秘
· Vista系统中让“UAC包公”由黑变白
· 如何修复Vista系统用户损坏的配置文件
· 迅雷中如何导入未完成的任务继续下载