警惕"7479主页劫持者" 金山毒霸率先查杀防御

cslgpl

近日，金山毒霸安全中心监测到互联网上出现较多用户求助“主页老是被修改为7479.cn怎么办”或 “C:\ProgramData\Mozilla\svchost.exe 这个病毒怎么杀“，金山毒霸工程师通过联系这些用户，发现这是一个修改主页的病毒，中招的电脑的IE主页会被反复篡改为 7479.cn （访问该网站会跳转到 2345导航），并在桌面上创建一个7479.cn的网页快捷方式。



据金山毒霸安全专家分析，这个修改主页的病毒，具有以下特点：
一、创建一个服务，利用一个带正常数字签名的第三方软件程序实现开机启动；
二、病毒流程比较复杂。进程A创建进程B，进程B创建进程C，进程C创建进程D；
三、病毒启动项和最后执行修改主页的程序都是正常程序，中间环节是一个修改主页的病毒，最后一个环节是autoit3程序执行au3脚本。

具有以下危害：
一、后台自动下载和安装流氓软件（20个以上）；
二、篡改360浏览器，谷歌浏览浏览器，sogou浏览器，TT浏览器快捷方式指向、篡改IE浏览器主页；
三、后台访问淘宝客购等网站，弹出各式各样烦人的广告。

7479主页劫持者是通过什么方式传播的呢？ 金山毒霸安全专家介绍说，它伪装成“win7激活小工具”或“开房查询助手”之类的小工具，欺骗用户下载，如果杀毒软件漏检测，一旦运行病毒文件，就会马上篡改主页为7479.cn。



金山毒霸用户实时开启金山毒霸即可防御7479主页劫持者，如果发现爱机不慎感染7479主页劫持者，请尽快下载金山毒霸查杀。



附【病毒流程】
开机启动的服务 zheziservicemgr.exe -->创建进程  zhezi.exe --> 创建进程 UrDisk.exe --> 创建进程 svchost.exe （autoit3.exe）

飞扬丶

毒霸兄 也用360搜索吗

daojianwuhen

为毛图片全是360？

cslgpl

飞扬丶 发表于 2013-12-20 15:30
毒霸兄 也用360搜索吗

试了下 用的是百度搜索
用360搜索 搜索同样的关键字出来的页面完全不一样。。。。

cslgpl

daojianwuhen 发表于 2013-12-20 16:15
为毛图片全是360？

就第一张图上有360吧 其他都没有啊

夜ㄝ殇

有必要争个第一，率先么。找存在感的弱者表现

超平头

顶个

daojianwuhen

跳到2345？呵呵来自: Android客户端

tttxxxttt

夜ㄝ殇 发表于 2013-12-20 18:51
有必要争个第一，率先么。找存在感的弱者表现

别人都在争，你不争，难道想被遗忘？企业是要赚钱的，必须提高曝光度。我想你肯定是隐士，什么都不争。