出处:DSW Avert 时间:2007年8月1日
一、病毒描述:
病毒运行后释放一个dll注入到非系统进程中,更改首页为8749。破坏安全模式,改写host文件。向QQ安装目录里释放
一个病毒文件并随QQ相关程序启动。监视并关闭一些窗体。
二、病毒基本情况:
病毒名称:8749(07072402)
病毒别名:8749
病毒类型:流氓软件
危害级别:5
感染平台:Windows
病毒大小:43086 (字节)
SHA1 :49c2ae96c5296f5297868cc611105b7640109aa8
加壳类型:NSPACK
开发工具:Borland C++
三、病毒行为:
1、病毒运行后会生成以下文件:
%windir%/system32/(随机八位文件名).dll
QQ安装目录/(随机八位文件名).dll
2、删除以下注册表项的所有项目来破坏安全模式:
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/SafeBoot
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Control/SafeBoot
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot
3、关闭含有以下字符的窗体:
kakasetup
ras.exe
btbaicai
wopticlean
360safe
8749病毒
卡卡
安全卫士
IE修复
8749.com病毒
清除8749
删除8749
4、修改主页和搜索页为www.8749.com,并且监视注册表,防止被修改。
5、改写HOST文件。
6、病毒还会向注册表内添加带有版本号的键值,本次分析的病毒版本号为07072402。
四、解决方案:
1、关闭QQ,打开超级巡警,升级到最新版本,然后查杀内存,超级巡警会查出此流氓软件并提示是否清除,选择清
除,然后重启,即可清除病毒文件。也可手动查杀,禁止进程创建后杀死所有被病毒注入的进程,然后删除病毒文
件即可。
2、删除删除以下注册表项:
HKEY_CLASSES_ROOT/CLSID/{62EA62EA-3FB7-51D9-D951-A62EA62EA62E}
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{62EA62EA-3FB7-51D9-D951-A62EA62EA62E}
HKEY_LOCAL_MACHINE/SOFTWARE/8749 technologies
3、修复安全模式启动。打开超级巡警,点安全优化,选择系统修复,选中修复安全模式启动,然后修复就可以了。也
可手动修复,在正常机器上导出以下注册表文件,并导入到中毒的机器上即可。
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/SafeBoot
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Control/SafeBoot
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot
4、修复host文件。
五、安全建议:
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、使用超级巡警的补丁检查功能,检查系统补丁,并及时安装补丁。
3、不要随便共享文件或文件夹,即使要使用共享,应先设置好权限,另外不建议设置可写或可控制。
4、不要随便打开不明来历的电子邮件,尤其是邮件附件。
5、不要随便登陆不明网站,特别不要随意登陆需要自己银行帐号或手机及计算机系统帐号的不明网站。
6、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。
7、做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。