Red de conocimiento informático - Computadora portátil - ¿Cómo infecta el virus 8749 el ordenador?

¿Cómo infecta el virus 8749 el ordenador?

El virus 8749 es un típico software viral fraudulento. El fenómeno típico después de ser infectado por el virus 8749 es que la página de inicio está bloqueada en www.8749.com. En apenas unos días han surgido varias variantes del virus 8749. A juzgar por la velocidad con la que aparecen las variantes, se estima que este software fraudulento pronto se difundirá a gran escala en Internet.

Comportamiento del virus:

1. Utilice tres métodos para borrar el archivo HOST, incluida la eliminación de archivos, el movimiento de archivos y la escritura de información vacía.

2. Virus. utilice tecnología de ocupación de archivos para proteger sus propios archivos de programa

3. Modifique la clave de registro y desactive la restauración del sistema XP

Software\Microsoft\Internet Explorer\Search

Software\Microsoft\Internet Explorer\Main

4. Agregue el elemento de inicio del registro Debido a que el nombre del virus se genera aleatoriamente, los archivos infectados no son exactamente iguales en diferentes computadoras. Modifique el registro HKLM\software\microsoft\windows\currentversion\runonce para realizar el registro automático de componentes.

5. Destruya el modo seguro (borre todos los elementos en SAFEMODE en el registro) para que no pueda ingresar al modo seguro para depurar el sistema.

6. Finalice los procesos de todas las ventanas que contengan los siguientes caracteres.

btbaicai

wopticlean

360safe

8749 virus

8749 muerte especial

Kaka

Guardia de seguridad

Reparación de IE

Virus 8749.com

Borrar 8749

Eliminar 8749

p>

7. Sub-DLL, cada 20 minutos desde

125.91.1.20 www.918188.com

125.91.1.20 hao.allxue.com

125.91.1.20 good.allxue.com

125.91.1.20 baby.allxue.com

125.91.1.20 www.allxue.com

125.91.1.20 acerca de.lank.la

125.91.1.20 www.x114x.com

125.91.1.20 www.37ss.com

125.91.1.20 www.7k.cc

125.91.1.20 www.73ss.com

125.91.1.20 www.hao123.com

125.91.1.20 www.81915.com

125.91.1.20 www.9991.com

125.91.1.20 www.my123.com

125.91.1.20 www.haokan123.com

125.91.1.20 www.5566.net

125.91.1.20 www.gjj.cc

125.91.1.20 www.2345.com

125.91.1.20 www.123wa.com

125.91.1.20 www.ku886.com

125.91.1.20 www.5icrack.com

125.91.1.20 www.jjol.cn

125.91.1.20 www.xinhai168.com

125.91.1.20 ooooos.com

125.91.1.20 www.ooooos.com

125.91.1.20 www. 8757.com

125.91.1.20 4199.5009.com

125.91.1.20 www.13886.cn

125.91.1.20 www.8757.com

125.91.1.20 www.baidu345.com

125.91.1.20 www.dedewang.com

125.91.1.20 allxun.5009.cn

125.91. 1.20 4199.5009.cn

125.91.1.20 yahoo.5009.cn

125.91.1.20 tom.5009.cn

125.91.1.20 zh130.5009.cn

125.91.1.20 piaoxue.5009.cn

125.91.1.20 3448.5009.cn

125.9

1.1.20 ttmp3.5009.cn

125.91.1.20 fx120.5009.cn

125.91.1.20 7939.5009.cn

125.91.1.20 99488.5009.cn

125.91.1.20 7333.5009.cn

125.91.1.20 www.ld123.com

125.91.1.20 www.anyiba.com

125.91 .1.20 www.999991.cn

125.91.1.20 www.hao123.cn

125.91.1.20 www.3721.com

125.91.1.20 www.haol23 .com

125.91.1.20 haol23.com

8. Genere un controlador SYS con el mismo nombre que la sub-DLL y el controlador supervisa sus propios elementos de registro de servicio (subproceso independiente monitoreo, monitoreo de inicio de WINLOGON), si lo modifica el software de seguridad, el virus se modificará nuevamente.

9. El sistema de archivos inferior de IRP HOOK (IRP_MJ_SET_INFORMATION) protege los archivos y no se puede eliminar ni cambiar de nombre.

10. Enganche ZwCreateFile y, cuando acceda a system32\drivers\etc\hosts, redirija la operación de acceso a %sys32dir%\andttrs. Es equivalente a usar este andttrs para reemplazar el archivo de hosts del sistema, logrando el mismo efecto que modificar el archivo HOST. Los usuarios solo pueden evitar la vinculación del nombre de dominio local modificando andttrs o restaurando HOOK.

11. Enganche ZwLoadDriver para desactivar la carga del controlador ICESWORD.

Apéndice: El software malicioso ha vuelto y 8749 está regresando

La última noticia del Kingsoft Anti-Virus Center es que un software malicioso llamado 8749 se está difundiendo ampliamente en Internet y está No sólo se han manipulado las páginas de inicio de IE de un gran número de usuarios como www.8749.com, sino que también se ha atacado algún software "malo" similar que alguna vez había sido muy influyente. Dado que el software malicioso 8749 adopta algunas de las últimas técnicas de ataque de virus de Poison King AV Terminator en la primera mitad del año, es difícil para los usuarios comunes eliminarlo por completo.

El experto en antivirus de Kingsoft Antivirus, Dai Guangjian, dijo que el software malicioso 8749 no solo tiene algunas características básicas del software malicioso, sino que también utiliza los métodos de ataque de virus modernos más populares, como eliminar archivos del sistema y destruir modos seguros. , etc. Las características de los virus de software son muy obvias.

Los expertos dijeron que 8749 puede destruir el modo seguro eliminando y borrando todos los elementos en SAFEMODE en el registro, de modo que los usuarios no puedan ingresar al modo seguro para depurar el sistema al mismo tiempo, puede agregar el registro; elementos de inicio, debido a que el nombre del software malicioso se genera aleatoriamente, los archivos infectados no son completamente consistentes en diferentes computadoras, lo que dificulta a los usuarios eliminarlos.

Además, al igual que AV Terminator, 8749 tiene un fuerte sentido de autoprotección, como cancelar herramientas de reparación de seguridad, ocultarse en directorios como QQ e insertar procesos QQ para evitar el software antivirus. . monitor. Se puede decir que este tipo de tecnología, que en el pasado pasó de explorar las vulnerabilidades del sistema y atacar el software antivirus a atacar el software general, es un método de ataque de virus relativamente nuevo en la actualidad. Una vez que un usuario está infectado, no solo se desactivarán las herramientas de reparación y el software antivirus relacionados, sino también siempre que el usuario abra una ventana con las palabras "virus 8749", "eliminación especial 8749" y "borrar 8749". , la ventana se cerrará inmediatamente.

Cabe mencionar que esta vez el contraataque de 8749 no solo apunta al software antivirus, sino que también ataca algunos software maliciosos como Piaoxue y 7939 que han tenido un gran impacto. La tendencia entre ellos de "acaparar territorio" y "blanco y negro" también se ha vuelto más clara.

Los expertos de la industria señalaron que el software fraudulento 8749 probablemente esté relacionado con el sitio web www.8749.com. Se entiende que este sitio web es un sitio web de navegación, que es muy similar a hao123, y uno de ellos. las características del software fraudulento 8749 son que se impide a los usuarios iniciar sesión en el sitio web hao123. Por lo tanto, es difícil para el sitio web 8749 escapar de la sospecha de utilizar métodos de competencia desleal para atacar a los competidores.

Se informa que el software fraudulento estalló a gran escala en 2006, y los usuarios se quejaron de que los fabricantes de antivirus como Kingsoft lanzaron herramientas de eliminación específicas para el software fraudulento. la cantidad de software malicioso cayó drásticamente; En 2007, el software malicioso parecía haber desaparecido y aparecieron pocos software malintencionados influyentes. La aparición de 8749 volvió a hacer sonar la alarma para que la mayoría de los usuarios no desaparecieran, pero adoptan constantemente nuevos. La tecnología y las máquinas se utilizan para cometer delitos, y los usuarios y los principales proveedores de seguridad no deberían tomárselo a la ligera.

Debido a la rápida propagación de 8749 y su amplio rango de influencia, ha atraído una gran atención por parte del Centro de monitoreo de Kingsoft Anti-Virus y los ingenieros de Kingsoft Anti-Virus han realizado un análisis de muestra detallado. a www.duba.net Descarga gratuita del experto en limpieza del sistema Kingsoft Antivirus, actualiza a la última versión para comprobarlo y eliminarlo.

Borrar. Los expertos en limpieza de Jinshan también están trabajando en actualizaciones de emergencia. Después de la actualización, 8749 se puede eliminar con éxito. Los usuarios que ya tienen problemas con 8749 pueden consultar los siguientes pasos para reparar el sistema.

1. Utilice Kingsoft Cleanup Expert, el programa detectará automáticamente el malware. Después de detectar el virus 8749, haga clic para seleccionar todo y luego haga clic para borrar los elementos seleccionados.

2. Reinicie la computadora inmediatamente y use Kingsoft Cleanup Expert para reparar el registro dañado por el virus y reparar los complementos agregados por el virus.

3 Visite y descargue la Feria. Herramienta Trojan Forced Remover Realizar eliminación forzada):

%SystemRoot%\system32\[Random virus name 1].dll

Directorio de instalación de QQ\[Random virus name 2].dll

Ingrese el siguiente comando en "Menú Inicio - Ejecutar":

Regsvr32 /u navcoy.dll

Luego reinicie la computadora y elimine los siguientes archivos:

%SystemRoot%\system32\ok1.exe

%SystemRoot%\system32\navcoy.dll

Directorio de instalación de QQ\rasadhlp.dll

Elimine el siguiente valor de clave de registro (menú Inicio - Ejecutar - ingrese "regedit"):

HKEY_CLASSES_ROOT\CLSID\{62EA62EA-3FB7-51D9-D951-A62EA62EA62E}

HKEY_CLASSES_ROOT\ Interfaz\{BEB97014- 3C77-46E0-B23E-194614588A0B}

HKEY_LOCAL_MACHINE\SOFTWARE\8749 tecnologías

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{62EA62EA-3FB7-51D9-D951- A62EA62EA62E}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BEB97014-3C77-46E0-B23E-194614588A0B}

El resto de los valores clave restantes se pueden borrar con algún registro herramientas de limpieza y no hay ningún problema grave

Para restaurar configuraciones como la página de inicio y la página de búsqueda de IE, y para restablecer la lista de HOSTS, puede usar SREng para repararlas

Para restaurar el modo seguro, puede usar SREng para repararlos. Método específico: SREng-Sistema de reparación-Reparación avanzada-Modo seguro de reparación