www.捌柒肆玖.com死亡三步曲

找阳光要的样本``他的分析:
 
[url]http://hi.baidu.com/newcenturysun/blog/item/362821fa88adf28b9e5146f6.html[/url]
 
据说比较NB,破例开了双HIPS跟踪。
 
的确比较棘手,专杀之类的东西打不开。
 
26号的卡吧、BD、Dr、AVG、瑞星、金山、毒霸、偌顿等都没有报!
 
文件名称:a864.dll
文件大小:42748 byte
AV命名:Backdoor.Win32.Agent.ahj(IKARUS)
依赖平台:Windows(9X以上系统)
加壳方式:nSpack V2.x
编写语言:Borland C++ DLL Method 2
病毒类型:后门
文件MD5:E391C3283B2A7FF47522C7DE3BFDFC85
文件SHA1:AB33528C0A7917CDF5D4E982005A83549562DF84
文件CRC32:F4F9E3E4
危害等级:   ★ ★ ★ ☆
传播方式:网络。
 
行为分析:
 
1、释放病毒文件:
 
%Systemroot%\system32\KYMAO.dll   42748 字节 (名字可能不一样)
这个是主体,并使用动态注入技术,插入所有运行中的进程!
 
%Systemroot%\system32\navcoy.dll   40960 字节
%Systemroot%\system32\ok1.exe   46761 字节
 
2、遍历进程,如找到QQ.exe进程,则在其目录下生成:
 
D:\Program Files\QQ\QQ\i.dll   42748 字节
D:\Program Files\QQ\QQ\rasadhlp.dll   8353 字节
 
3、病毒注入后,检测窗口,尝试关闭:
 
8749
360safe
wopticlean
kakasetup
ras.exe
btbaicai
wopticlean
360safe
8749病毒
8749专杀
卡卡
安全卫士
IE修复
8749.com病毒
清除8749
删除8749
 
4、破坏安全模式
 
删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\下的SafeBoot整个键!
导致安全模式无法进入。
 
5、并在注册表里留下了病毒的一些版本信息,例如:
 
HKEY_LOCAL_MACHINE\SOFTWARE\8749 technologies\VERSION
REG_SZ, "07072602 "
 
HKEY_LOCAL_MACHINE\SOFTWARE\test\Version
Version = REG_SZ, "1.2 "
 
6、写入注册表:
 
HKEY_CLASSES_ROOT\Baidu509.Navcot键。
指向的是%Systemroot%\system32\navcoy.dll。
 
注册BHO,实现打开IE则注入病毒文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
指向的是%Systemroot%\system32\navcoy.dll
 
7、劫持IE主页,修改为:***.8749.com
 
(重点来了,一起鄙视下)
 
并由KYMAO.dll 监视,每隔一段时间重写主页(***.8749.com)。
 
注册表变动:
 
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
注册表值 Start Page
改为:REG_SZ, " http://***.8749.com "
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\CustomizeSearch
注册表值CustomizeSearch
改为:" http://***.8749.com "
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant
注册表值SearchAssistant
改为:REG_SZ, " http://***.8749.com "

 
8、修改HOST,实现DNS劫持(每隔一段时间连接 http://***.8749.com 下载HOST列表并修改):
 
125.91.1.20 [url]www.37021.net[/url]
125.91.1.20 37021.net
125.91.1.20 5235.net
125.91.1.20 [url]www.5235.net[/url]
127.0.0.1 [url]www.duba.net[/url]
127.0.0.1 duba.net
 
专杀下载:
 
图片点击可在新窗口打开查看 360‖8七四久砖刹程式.rar 84KB
 
(转至360安全卫士官方论坛)
 
手工清除只需要三步,不过却讲究技巧,并且病毒文件名是不固定的所以就不推荐了```
 
 
死亡三步曲:
 
1、冰刃,禁止线程创建,删除:
 
%Systemroot%\system32\KYMAO.dll   42748 字节 (名字可能不一样)
%Systemroot%\system32\navcoy.dll   40960 字节
%Systemroot%\system32\ok1.exe   46761 字节
如果有QQ的话:
D:\Program Files\QQ\QQ\i.dll   42748 字节(名字可能不一样)
D:\Program Files\QQ\QQ\rasadhlp.dll   8353 字节
冰刃注册表功能,删除:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
%Systemroot%\system32\KYMAO.dll
 
2、重启并监视,重启后SREng修复安全模式(不一定成功)和重置HOST
 
(也可以找个系统相同的,把SafeBoot键导出。)
 
3、推荐使用360安全卫士修复被篡改的主页:
 
[url]http://www.360safe.com[/url]
 
OK,收工。
 
 
民间和杀软公司的区别真的很大`。。。
 
一个流行接近一个月的样本,今晚才收到```
 
呼``
 
=。=

你可能感兴趣的:(8749,8749专杀,8749专杀工具,www.8749.com,8749专杀下载)