8749（07072402）流氓软件解决方案

出处：DSW Avert 时间：2007年8月1日

　　一、病毒描述：
　　病毒运行后释放一个dll注入到非系统进程中，更改首页为8749。破坏安全模式，改写host文件。向QQ安装目录里释放
一个病毒文件并随QQ相关程序启动。监视并关闭一些窗体。

　　二、病毒基本情况：
　　        病毒名称：8749(07072402)
　　        病毒别名：8749
　　        病毒类型：流氓软件
　　        危害级别：5
　　        感染平台：Windows
　　        病毒大小：43086 (字节)
　　        SHA1　　：49c2ae96c5296f5297868cc611105b7640109aa8
　　        加壳类型：NSPACK
　　        开发工具：Borland C++

　　三、病毒行为：
　　         1、病毒运行后会生成以下文件：
　　            %windir%/system32/(随机八位文件名).dll
　　            QQ安装目录/(随机八位文件名).dll
　　         2、删除以下注册表项的所有项目来破坏安全模式：
　　            HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/SafeBoot
　　            HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Control/SafeBoot
　　            HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot
　　         3、关闭含有以下字符的窗体：
　　            kakasetup
　　            ras.exe
　　            btbaicai
　　            wopticlean
　　            360safe
　　            8749病毒
　　            卡卡
　　            安全卫士
　　            IE修复
　　            8749.com病毒
　　            清除8749
　　            删除8749
　　         4、修改主页和搜索页为www.8749.com，并且监视注册表，防止被修改。
　　         5、改写HOST文件。
　　         6、病毒还会向注册表内添加带有版本号的键值，本次分析的病毒版本号为07072402。　　
　　四、解决方案：
　　         1、关闭QQ，打开超级巡警，升级到最新版本，然后查杀内存，超级巡警会查出此流氓软件并提示是否清除，选择清
　　            除，然后重启，即可清除病毒文件。也可手动查杀，禁止进程创建后杀死所有被病毒注入的进程，然后删除病毒文
　　            件即可。
　　         2、删除删除以下注册表项：
　　            HKEY_CLASSES_ROOT/CLSID/{62EA62EA-3FB7-51D9-D951-A62EA62EA62E}
　　            HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{62EA62EA-3FB7-51D9-D951-A62EA62EA62E}
　　            HKEY_LOCAL_MACHINE/SOFTWARE/8749 technologies
　　         3、修复安全模式启动。打开超级巡警，点安全优化，选择系统修复，选中修复安全模式启动，然后修复就可以了。也
　　            可手动修复，在正常机器上导出以下注册表文件，并导入到中毒的机器上即可。
　　            HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/SafeBoot
　　            HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Control/SafeBoot
　　            HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot
　　         4、修复host文件。
　　五、安全建议：
　　         1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
　　         2、使用超级巡警的补丁检查功能，检查系统补丁，并及时安装补丁。
　　         3、不要随便共享文件或文件夹，即使要使用共享，应先设置好权限，另外不建议设置可写或可控制。
　　         4、不要随便打开不明来历的电子邮件，尤其是邮件附件。
　　         5、不要随便登陆不明网站，特别不要随意登陆需要自己银行帐号或手机及计算机系统帐号的不明网站。
　　         6、使用移动存储介质进行数据访问时，先对其进行病毒检查，建议使用超级巡警U盘免疫器进行免疫。
　　         7、做好系统和重要数据的备份，以便能够进行系统和数据灾难恢复。

8749（07072402）流氓软件解决方案相关推荐

流氓软件卷土重来 8749上演黑吃黑
来源:金山日期: 2007-7-25 来自金山毒霸反病毒中心最新消息,一名为8749的流氓软件正在互联网上大肆传播,并上演了一场"黑吃黑"的流氓软件大战,不但大量用户IE首页被篡 ...
流氓软件新技术 8749病毒详细分析报告
来源:华军资讯日期: 2007-7-26 8749病毒是一个典型的病毒化的流氓软件,中8749病毒后的典型现象是主页被锁定为 www.8749.com.在短短几天之间,8749病毒已经出现了数个变 ...
流氓软件新技术，8749病毒详细分析报告
8749病毒是一个典型的病毒化的流氓软件,中8749病毒后的典型现象是主页被锁定为www.8749.com.在短短几天之间,8749病毒已经出现了数个变种.以变种出现的速度来看,估计该流氓软件会很快在 ...
8749病毒详细分析报告 [转]
8749病毒是一个典型的病毒化的流氓软件,中8749病毒后的典型现象是主页被锁定为 www.8749.com .在短短几天之间,8749病毒已经出现了数个变种.以变种出现的速度来看,估计该流氓软件会很 ...
微软官方反间谍流氓软件WindowsDefender
最近电脑总是遭受间谍软件,流氓软件的骚扰,刚使用杀毒软件杀了一个晚上,杀掉20个间谍软件.看着这个列表真是担心那.就到网上找专杀工具.就找到了微软的免费的反间谍流氓软件.2006/10/23刚刚正式发 ...
关于勒索病毒 Ransom:Win32.WannaCrypt 解决方案的最后一次说明
2017/5/12 晚,勒索软件 Ransom:Win32.WannaCrypt 大面积暴发.比病毒爆发更火的,则是各类关于此病毒的新闻.解决方法在朋友圈等社交媒体的爆发. 其中,有主观善意但客观一知 ...
程序哨兵----誓把流氓软件赶出我们的电脑！
程序哨兵:誓把流氓软件赶出我们的电脑写在前面的话相信大家都有过类似的经历,电脑里经常会莫名其妙的被安装了一些自己不需要的程序,安装张三的程序有时搭进来李四甚至王五的程序,这都是国内电脑用户面临的应 ...
流氓软件广告屏蔽大师处理方式
图片: 进入应用区首页,看到大家提出或者问题解决方案,我也来说说本人的处理方式,[本人全部部署在家用无线路由器上解决方式] 1 向流氓软件和流氓网站宣战 ----〉我的解决方式,部署广告屏蔽大师 ...
流氓软件与流氓系统的清理故事
流氓软件与流氓系统的清理故事 date: 2022-08-20 lastmod: 2022-08-20 前因后果想起昨天发生的事情,我还是觉得不可思议,流氓们完全嘲讽了我的专业技能,卸载完重启几次就 ...

8749（07072402）流氓软件解决方案

8749（07072402）流氓软件解决方案相关推荐

最新文章

热门文章