病毒行为: 1.使用删除文件,移动文件,写入空信息等三种方式清空HOST文件 2.病毒利用文件占用技术,实现对自身程序文件的保护 3.修改注册表键,禁用XP的系统还原 Software\Microsoft\Internet Explorer\Search Software\Microsoft\Internet Explorer\Main 4.添加注册表启动项,因病毒名是随机生成,不同的电脑,感染的文件并不完全一致。修改注册表HKLM\software\microsoft\windows\currentversion\runonce,实现自动注册组件。 5.破坏安全模式(清空注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot下的所有项目),使你不能进入安全模式调试系统。启动系统到安全模式会蓝屏。
安全模式蓝屏 6.终止所有包含下列字符的窗口的进程。 btbaicaiwopticlean360safe8749病毒8749专杀卡卡安全卫士IE修复8749.com病毒清除8749删除8749 7.子DLL,每20分钟从http://up.yinlew.com:8080/hellohost515.ini?p=%s&t=%d下载一个要阻止访问的网站列表,下载后的文件保存在%sys32dir%\andttrs文件中。类似以下内容: 125.91.1.20 www.kzdh.com125.91.1.20 www.7255.com125.91.1.20 www.7322.com125.91.1.20 www.7939.com125.91.1.20 www.piaoxue.com125.91.1.20 www.feixu.net125.91.1.20 www.6781.com125.91.1.20 www.7b.com.cn125.91.1.20 www.918188.com125.91.1.20 hao.allxue.com125.91.1.20 good.allxue.com125.91.1.20 baby.allxue.com125.91.1.20 www.allxue.com125.91.1.20 about.lank.la125.91.1.20 www.x114x.com125.91.1.20 www.37ss.com125.91.1.20 www.7k.cc125.91.1.20 www.73ss.com125.91.1.20 www.hao123.com125.91.1.20 www.81915.com125.91.1.20 www.9991.com125.91.1.20 www.my123.com125.91.1.20 www.haokan123.com125.91.1.20 www.5566.net125.91.1.20 www.gjj.cc125.91.1.20 www.2345.com125.91.1.20 www.123wa.com125.91.1.20 www.ku886.com125.91.1.20 www.5icrack.com125.91.1.20 www.jjol.cn125.91.1.20 www.xinhai168.com125.91.1.20 ooooos.com125.91.1.20 www.ooooos.com125.91.1.20 www.8757.com125.91.1.20 4199.5009.com125.91.1.20 www.13886.cn125.91.1.20 www.8757.com125.91.1.20 www.baidu345.com125.91.1.20 www.dedewang.com125.91.1.20 allxun.5009.cn125.91.1.20 4199.5009.cn125.91.1.20 yahoo.5009.cn125.91.1.20 tom.5009.cn125.91.1.20 zh130.5009.cn125.91.1.20 piaoxue.5009.cn125.91.1.20 3448.5009.cn125.91.1.20 ttmp3.5009.cn125.91.1.20 fx120.5009.cn125.91.1.20 7939.5009.cn125.91.1.20 99488.5009.cn125.91.1.20 7333.5009.cn125.91.1.20 www.ld123.com125.91.1.20 www.anyiba.com125.91.1.20 www.999991.cn125.91.1.20 www.hao123.cn125.91.1.20 www.3721.com125.91.1.20 www.haol23.com125.91.1.20 haol23.com 8.生成与子DLL同名的SYS驱动程序,驱动程序监控自身服务注册项(独立线程监控、WINLOGON启动时监控),如果被安全软件修改,病毒会再改回来。 9.IRP HOOK最底层的文件系统(IRP_MJ_SET_INFORMATION),保护文件,不能删除,不能更名。 10.挂钩ZwCreateFile,在其访问system32\drivers\etc\hosts时,将该访问操作重定向到%sys32dir%\andttrs。相当 于用这个andttrs取代了系统的hosts文件,达到跟修改HOST文件相同的效果,用户只能通过修改andttrs或恢复HOOK阻止本地域名绑定。 11.挂钩ZwLoaDDRiver,禁止ICESWORD(冰刃)的驱动加载。
|