最牛小强病毒“8749”作者揭秘
“最牛小强病毒出现了!”面对近日出现在网络上的强力病毒“8749”,网友在反病毒论坛上惊呼。近日悄然席卷网络的“8749”病毒,采用了上半年毒王AV终结者的一些最新的病毒攻击技术,“百杀不死”,确实很像顽固的蟑螂“小强”。 它采用最新攻击技术锁定主页,主使网站单条广告每天获利2000元。
“牛皮糖”:定时上网升级
在一家软件公司供职的电脑高手丁枫这两天有点烦:“很没面子,计算机专业毕业的硕士,居然连自己的电脑浏览器主页也搞不定……”原来,近日在网上悄然出现的强力病毒“8749”7月24日“攻陷”了他的电脑,一打开浏览器,他眼前马上出现导航网站的首页。
在与这款强力流氓病毒“交战”的过程中,丁枫绞尽脑汁,最终还是败下阵来。“手工改回来是不可能的了,我查了注册表,发现相关项目已经被锁定。我试图重启电脑进入安全模式,居然无法进入,最后连系统的自动还原功能也没法用了!”
丁枫通过努力,查到了病毒最底层的文件系统(IRP_MJ_SET_IN-FORMATION),结果发现这是保护文件,不能删除,也不能更名。更“狡猾”的是,用户只要在浏览器输入“8749专杀”、“安全卫士”等与反病毒有关的内容,浏览器就会被自动关闭。丁枫发现,病毒还会每过一段时间就“上网升级”,把新的不可登陆网址添加到被感染的电脑上。
“黑吃黑”:连流氓软件也不放过
目前流氓软件有病毒化的趋势,此次‘8749’不但将反病毒软件作为攻击目标,而且还将曾经一些影响比较大的流氓软件‘飘雪’、‘7939’等一同进行打击,可见病毒之间‘抢地盘’、‘黑吃黑’的趋势也更加明朗。2006年流氓软件大规模爆发,在大规模的围剿之下,流氓软件数量骤减。进入2007年,流氓软件仿佛销声匿迹,很少有影响力较大的流氓软件出现,而此次‘8749’的出现再次给用户敲响警钟:流氓软件并没有消失,而是在不断地采用新的技术,伺机作案。
“与‘AV终结者’相似,‘8749’的自我保护意识非常强,如终止安全修复工具、将自身隐藏在QQ等目录中,并且插入QQ进程,以绕过反病毒软件的监控。而这种从过去的发掘系统漏洞、攻击杀毒软件转向攻击通用软件的技术可以说是目前较新的病毒攻击手段。”
主使网站广告费价格惊人
“8749”病毒定位的网站是一家网络导航网站,其首页上有搜狐、新浪、网易等知名门户网站链接,也有成人网站、电玩网站等小站点链接,与普通的网络导航网站并无不同。
在网站“广告服务”栏目中,列出了高得惊人的广告价目表:名站导航每月10000元,频道导航每月5000元,中部广告连接每月8000元,而网站顶部的广告费用更是高达每天2000元。网站的各个栏目都被广告商投得满满当当,几乎找不出空隙再登广告。
长期从事劫持用户浏览器的流氓软件开发工作的张川说,指责劫持软件是病毒或木马并不过分:“我们会让插件嵌入注册表或系统文件,虽然每次点击后,开发公司到手不超过7分钱,但每个插件安装2000万台计算机不成问题,一些大公司的插件安装甚至超过5000万台。”
“你可以算算我们的赢利规模。”张川说。
8749站长网络隐身
知名网站站长浦滨协助记者,通过网站域名注册信息查询工具,对其相关信息进行查找,结果发现相关信息“全是乱填的,根本不是真实信息”。即使要和网站联系刊登广告业务,也必须通过地址为gg8749@126.com的邮箱进行联系,此外再无任何联系信息。通过多方努力,依然无法查到该网站站长踪迹。
网站开辟了“首页修复”栏目,称导致首页被锁定的原因为“部分推广商恶意推广”,但解决方案却是下载第三方浏览器,不能修复IE浏览器,无法从根本上解决问题。
许多小网站在成立之初都会选择浏览器劫持的方式赚取广告费,只要劫持了网上一定数量的用户电脑,提高广告客户浏览量和点击率,就可以从广告商处大笔获利。“如今没有法律可以对劫持者进行惩戒,他们只承担道德谴责。”
8749每次入侵后生成的程序是随机的,不同的电脑中招后会发现不同的程序,而且还破坏了安全模式,并监视注册表键,即使您使用金山毒霸的AV终结者专杀工具,也不能在其运行时,修复被破坏的安全模式,造成手工解除非常困难。
已经受8749困扰的用户,可参考以下步骤修复系统。
1、使用金山清理专家,程序会自动检测恶意软件,检测到8749病毒后,点击全选,再点清除选中项。
2、立即重启电脑,使用金山清理专家修复被病毒破坏的注册表,修复被病毒添加的加载项
3、访问这里下载AV终结者专杀工具修复被破坏的安全模式。
4、右键单击我的电脑,选择属性,点击“系统还原”标签页,把禁用的勾去掉。建议至少要选择保护C分区,在系统遇到紧急故障时,利用系统还原可以减少恢复系统的成本。
毒霸用户发现病毒无法处理时,推荐下载清理专家2.0,下载地址。
8749病毒详细分析报告
病毒行为:
1、使用删除文件,移动文件,写入空信息等三种方式清空HOST文件
2、病毒利用文件占用技术,实现对自身程序文件的保护
3、修改注册表键,禁用XP的系统还原
Software/Microsoft/Internet Explorer/Search
Software/Microsoft/Internet Explorer/Main
4、添加注册表启动项,因病毒名是随机生成,不同的电脑,感染的文件并不完全一致。修改注册表HKLM/software/microsoft/windows/currentversion/runonce,实现自动注册组件。
5、破坏安全模式(清空注册表HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot下的所有项目),使你不能进入安全模式调试系统。启动系统到安全模式会蓝屏。
6、终止所有包含下列字符的窗口的进程。
btbaicai
wopticlean
360safe
8749病毒
8749专杀
卡卡
安全卫士
IE修复
8749.com病毒
清除8749
删除8749
7.子DLL,每20分钟从http://up.yinlew.com:8080/hellohost515.ini?p=%s&t=%d下载一个要阻止访问的网站列表,下载后的文件保存在%sys32dir%/andttrs文件中。类似以下内容:
125.91.1.20 www.kzdh.com
125.91.1.20 www.7255.com
125.91.1.20 www.7322.com
125.91.1.20 www.7939.com
125.91.1.20 www.piaoxue.com
125.91.1.20 www.feixu.net
125.91.1.20 www.6781.com
125.91.1.20 www.7b.com.cn
125.91.1.20 www.918188.com
125.91.1.20 hao.allxue.com
125.91.1.20 good.allxue.com
125.91.1.20 baby.allxue.com
125.91.1.20 www.allxue.com
125.91.1.20 about.lank.la
125.91.1.20 www.x114x.com
125.91.1.20 www.37ss.com
125.91.1.20 www.7k.cc
125.91.1.20 www.73ss.com
125.91.1.20 www.hao123.com
125.91.1.20 www.81915.com
125.91.1.20 www.9991.com
125.91.1.20 www.my123.com
125.91.1.20 www.haokan123.com
125.91.1.20 www.5566.net
125.91.1.20 www.gjj.cc
125.91.1.20 www.2345.com
125.91.1.20 www.123wa.com
125.91.1.20 www.ku886.com
125.91.1.20 www.5icrack.com
125.91.1.20 www.jjol.cn
125.91.1.20 www.xinhai168.com
125.91.1.20 ooooos.com
125.91.1.20 www.ooooos.com
125.91.1.20 www.8757.com
125.91.1.20 4199.5009.com
125.91.1.20 www.13886.cn
125.91.1.20 www.8757.com
125.91.1.20 www.baidu345.com
125.91.1.20 www.dedewang.com
125.91.1.20 allxun.5009.cn
125.91.1.20 4199.5009.cn
125.91.1.20 yahoo.5009.cn
125.91.1.20 tom.5009.cn
125.91.1.20 zh130.5009.cn
125.91.1.20 piaoxue.5009.cn
125.91.1.20 3448.5009.cn
125.91.1.20 ttmp3.5009.cn
125.91.1.20 fx120.5009.cn
125.91.1.20 7939.5009.cn
125.91.1.20 99488.5009.cn
125.91.1.20 7333.5009.cn
125.91.1.20 www.ld123.com
125.91.1.20 www.anyiba.com
125.91.1.20 www.999991.cn
125.91.1.20 www.hao123.cn
125.91.1.20 www.3721.com
125.91.1.20 www.haol23.com
125.91.1.20 haol23.com
8、生成与子DLL同名的SYS驱动程序,驱动程序监控自身服务注册项(独立线程监控、WINLOGON启动时监控),如果被安全软件修改,病毒会再改回来。
9、IRP HOOK最底层的文件系统(IRP_MJ_SET_INFORMATION),保护文件,不能删除,不能更名。
10、挂钩ZwCreateFile,在其访问system32/drivers/etc/hosts时,将该访问操作重定向到%sys32dir%/andttrs。相当 于用这个andttrs取代了系统的hosts文件,达到跟修改HOST文件相同的效果,用户只能通过修改andttrs或恢复HOOK阻止本地域名绑定。
11、挂钩ZwLoadDriver,禁止ICESWORD(冰刃)的驱动加载。
最牛小强病毒"8749"的拥有者到底是谁?虽然8749网站域名注册信息查询是胡填的信息,但是更新的网址却泄漏的他的身份http://www.yinlew.com,可以看到他的习惯,例如习惯用ttmp3@MSN.C0M做测试用邮箱等!
[whois.dns.com.cn]
Domain Name.......... Yinlew.com
Creation Date........ 2007-01-16 16:16:11
Registration Date.... 2007-01-16 16:16:11
Expiry Date.......... 2008-01-16 16:16:11
Organisation Name.... xiao re zhang
Organisation Address. sz
Organisation Address.
Organisation Address. sz
Organisation Address. 518000
Organisation Address. GD
Organisation Address. CN
Admin Name........... zhangxiao re(张小热?音)
Admin Address........ sz
Admin Address........
Admin Address........ sz
Admin Address........ 518000 (广东 深圳市)
Admin Address........ GD
Admin Address........ CN
Admin Email.......... ttmp3@56.com
Admin Phone.......... +86.13510086961-0
Admin Fax............ +86.13510086961
您查询的手机号码段 13510086961
卡号归属地 广东 深圳
卡 类 型 移动全球通卡
Tech Name............ Lin QiShu
Tech Address......... 2405 room,Lippo TianMa Plaza,No.1 WuYi North RD
Tech Address.........
Tech Address......... Fuzhou
Tech Address......... 350001
Tech Address......... FJ
Tech Address......... CN
Tech Email........... dns@100dns.com
Tech Phone........... +86.59183325509
Tech Fax............. +86.59183327801
Bill Name............ Lin QiShu
Bill Address......... 2405 room,Lippo TianMa Plaza,No.1 WuYi North RD
Bill Address.........
Bill Address......... Fuzhou
Bill Address......... 350001
Bill Address......... FJ
Bill Address......... CN
Bill Email........... dns@100dns.com
Bill Phone........... +86.59183325509
Bill Fax............. +86.59183327801
Name Server.......... ns2.dns.com.cn
Name Server.......... ns1.dns.com.cn
服务器托管公司
公司名称: 福州亿讯网络技术服务有限公司
公司电话: 0591-83301068(5线) 83301768 技术支持:83327801 机房值班:87265900
公司传真: 0591-83325509
通信地址: 福州市五一北路1号力宝天马广场24层
邮政编码: 350001
