道魔大战续集：8749流氓病毒pk金山清理专家，毒霸再度亮剑，发布新专杀

黑色利剑

道魔大战续集：8749流氓病毒pk金山清理专家，毒霸再度亮剑，发布新专杀

话说金山清理专家通过深厚内功让曾经在江湖上显赫一时的8749病毒深受重伤，落荒而逃，但是不甘心失败的病毒开发者们很快就开发出了新的变种：重新进行了模块的更新，是专门针对金山清理专家做了修改，以干扰关闭金山清理专家程序，确保病毒和长期驻留用户系统。
针对这个情况，金山毒霸提前公布8749专杀工具内部版，该工具在AV终结者病毒专杀基础上修改，版本号为4.4。该工具不仅可以清除AV终结者病毒和8749流氓病毒，同时，还可修复被流氓破坏的安全模式，修复系统文件夹正常显示隐藏系统文件，修复病毒配置的自动播放文件。注意看下图：程序标题栏已经变成空白，病毒想结束专杀进程，必须再次修改。

需要的朋友请登录爱毒霸社区，从这里下载
http://bbs.duba.net/thread-21819920-1-1.html

以下是新版8749流氓软件的分析报告。

1.保护模块

1.1关闭出现特定字符串的窗口
一些常见安全软件的字符串都在列表，即使用IE打开搜索页面，搜索这些字符，窗口也会被关闭。出问题的时候，用户也无法求助于搜索引擎。当前版本中，被屏蔽的字符列表包含（各版本有所差异）：
360safe
Wopticlean
Kakasetup
ras.exe
金山毒霸
Btbaicai
Wopticlean
360safe
卡卡
IE修复
安全卫士
病毒
流氓
专杀
锁定浏览器
修改
修复
清除
删除
中了百度知道

1.2反金山清理专家(本版新增功能）
关闭KASMain.exe进程
清除SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce下的KASTask

1.3劫持HOST文件
当前版本列表（各版本有所不同）：
125.91.1.20 www.37021.net
125.91.1.20 37021.net
125.91.1.20 5235.net
125.91.1.20 www.5235.net
125.91.1.20 www.7255.com
125.91.1.20 www.2345.com
125.91.1.20 www.9991.com
125.91.1.20 www.haol23.net
125.91.1.20 www.kzdh.com
125.91.1.20 www.qu123.com
127.0.0.1 www.duba.net
127.0.0.1 duba.net
127.0.0.1 bbs.360safe.com
127.0.0.1 www.okbihoo.cn
127.0.0.1 okbihoo.cn

1.4系统DLL注入QQ（病毒启动10分钟之后）
利用LOADLIBRARY在不传入全路径的情况下会先从当前目录尝试读取DLL的特性，在系统目录复制rasadhlp.dll，通过在该DLL的输入目录中添加自己的DLL，以达到随QQ一起启动的目的。

1.5文件占用
以CreateFile打开自己的程序文件，使文件处于被占用的状态。

1.6禁用XP自带的系统还原
在SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore的DisableSR键值改成1。

1.7破坏安全模式
把System\CurrentControlSet\Control\SafeBoot下的所有注册表项都清空

1.8全局钩子INLINE HOOK REGENUMVALUE
5字节的HOT PATCH，由于消息钩子是在窗口出现之后才把对应的DLL加载到内存中的，也就是说在多线程的环境下，该病毒有可能导致程序崩溃。该钩子的作用是隐藏自己在注册表中的启动项

1.9加密文件名，注册表启动项。
其算法主要是根据本地C盘信息，根据其2进制值，对编码表的长度求余，获取编码表中对应的字符生成的。根据不同需要，生成规则略有差异。

1.10改写自身程序文件时间
获取kernel32.dll的创建时间修改时间和访问时间，修改自身文件时间与其相一致，逃避根据文件创建时间的检查。

2．功能模块

2.1修改IE,将搜索主页和默认主页修改为http://www.8749.com
Software\Microsoft\Internet Explorer\Search
Software\Microsoft\Internet Explorer\Main
值得注意的是这里使用了慢速概念，在程序运行后的10分钟之后（Sleep函数）才实现这部分功能。和前几个版本有所不同

2.2远程控制（一个非常危险的信号，除了劫持浏览器，被远程控制后，可以带来更严重的影响）
最基本的远程控制模块，包括一个以当前版本号，网络适配器信息和C盘的硬件信息为标记，发送数据包通知服务端在线的模块，以及能够响应服务端命令，下载并执行程序的模块。

2.3自动更新
当版本号与服务端不一致的时候，会自动下载最新版并覆盖原来的版本。

微点卫士

我居然看到了保护毒霸的按钮
金山的自我保护能力太差了

呵呵~
金山加油啊~

liaoying112

金山速度出来０８测试阿～

cbz107

原帖由 微点卫士 于 2007-8-13 16:21 发表
我居然看到了保护毒霸的按钮
金山的自我保护能力太差了

为了安全

cbz107

我也有点怕怕，先下载一个……

PC0amera

郁闷0...不就是个AV终结者..不至于害怕成那样吧

注意上网.打全补丁..装个好点的杀软..墙  就行了

saber123

原帖由 PC0amera 于 2007-8-13 19:00 发表
郁闷0...不就是个AV终结者..不至于害怕成那样吧

注意上网.打全补丁..装个好点的杀软..墙  就行了

来个Oday漏洞你的补丁和杀软,防火墙也不见得有用

sharkkong

呵呵，依靠出专杀，就是说自己的杀软不够强劲

touchtouch

原帖由 sharkkong 于 2007-8-13 21:34 发表
呵呵，依靠出专杀，就是说自己的杀软不够强劲

安装了毒霸是不用再用专杀杀的， 还有 专杀是免费提供给未安装毒霸的用户使用的。