流氓软件8749完整解决方案

　　病毒行为：

　　1.使用删除文件，移动文件，写入空信息等三种方式清空HOST文件

　　2.病毒利用文件占用技术，实现对自身程序文件的保护

　　3.修改注册表键，禁用XP的系统还原

　　Software\Microsoft\Internet Explorer\Search

　　Software\Microsoft\Internet Explorer\Main

　　4.添加注册表启动项，因病毒名是随机生成，不同的电脑，感染的文件并不完全一致。修改注册表HKLM\software\microsoft\windows\currentversion\runonce，实现自动注册组件。

　　5.破坏安全模式(清空注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot下的所有项目)，使你不能进入安全模式调试系统。启动系统到安全模式会蓝屏。

　　安全模式蓝屏

　　6.终止所有包含下列字符的窗口的进程。

　　btbaicaiwopticlean360safe8749病毒8749专杀卡卡安全卫士IE修复8749.com病毒清除8749删除8749

　　7.子DLL，每20分钟从http://up.yinlew.com:8080/hellohost515.ini?p=%s&t=%d下载一个要阻止访问的网站列表，下载后的文件保存在%sys32dir%\andttrs文件中。类似以下内容：

　　125.91.1.20 www.kzdh.com125.91.1.20 www.7255.com125.91.1.20 www.7322.com125.91.1.20 www.7939.com125.91.1.20 www.piaoxue.com125.91.1.20 www.feixu.net125.91.1.20 www.6781.com125.91.1.20 www.7b.com.cn125.91.1.20 www.918188.com125.91.1.20 hao.allxue.com125.91.1.20 good.allxue.com125.91.1.20 baby.allxue.com125.91.1.20 www.allxue.com125.91.1.20 about.lank.la125.91.1.20 www.x114x.com125.91.1.20 www.37ss.com125.91.1.20 www.7k.cc125.91.1.20 www.73ss.com125.91.1.20 www.hao123.com125.91.1.20 www.81915.com125.91.1.20 www.9991.com125.91.1.20 www.my123.com125.91.1.20 www.haokan123.com125.91.1.20 www.5566.net125.91.1.20 www.gjj.cc125.91.1.20 www.2345.com125.91.1.20 www.123wa.com125.91.1.20 www.ku886.com125.91.1.20 www.5icrack.com125.91.1.20 www.jjol.cn125.91.1.20 www.xinhai168.com125.91.1.20 ooooos.com125.91.1.20 www.ooooos.com125.91.1.20 www.8757.com125.91.1.20 4199.5009.com125.91.1.20 www.13886.cn125.91.1.20 www.8757.com125.91.1.20 www.baidu345.com125.91.1.20 www.dedewang.com125.91.1.20 allxun.5009.cn125.91.1.20 4199.5009.cn125.91.1.20 yahoo.5009.cn125.91.1.20 tom.5009.cn125.91.1.20 zh130.5009.cn125.91.1.20 piaoxue.5009.cn125.91.1.20 3448.5009.cn125.91.1.20 ttmp3.5009.cn125.91.1.20 fx120.5009.cn125.91.1.20 7939.5009.cn125.91.1.20 99488.5009.cn125.91.1.20 7333.5009.cn125.91.1.20 www.ld123.com125.91.1.20 www.anyiba.com125.91.1.20 www.999991.cn125.91.1.20 www.hao123.cn125.91.1.20 www.3721.com125.91.1.20 www.haol23.com125.91.1.20 haol23.com

　　8.生成与子DLL同名的SYS驱动程序，驱动程序监控自身服务注册项(独立线程监控、WINLOGON启动时监控)，如果被安全软件修改，病毒会再改回来。

　　9.IRP HOOK最底层的文件系统(IRP_MJ_SET_INFORMATION)，保护文件，不能删除，不能更名。

　　10.挂钩ZwCreateFile，在其访问system32\drivers\etc\hosts时，将该访问操作重定向到%sys32dir%\andttrs。相当 于用这个andttrs取代了系统的hosts文件，达到跟修改HOST文件相同的效果，用户只能通过修改andttrs或恢复HOOK阻止本地域名绑定。

　　11.挂钩ZwLoaDDRiver,禁止ICESWORD(冰刃)的驱动加载。