www.捌柒肆玖.com死亡三步曲

2007-07-26 20:18:13

　标签：8749 8749专杀 www.8749.com 8749专杀工具 8749专杀下载　　　[推送到技术圈]

找阳光要的样本``他的分析：

http://hi.baidu.com/newcenturysun/blog/item/362821fa88adf28b9e5146f6.html

据说比较NB，破例开了双HIPS跟踪。

的确比较棘手，专杀之类的东西打不开。

26号的卡吧、BD、Dr、AVG、瑞星、金山、毒霸、偌顿等都没有报！

文件名称:a864.dll

文件大小:42748 byte

AV命名:Backdoor.Win32.Agent.ahj（IKARUS）

依赖平台:Windows（9X以上系统）

加壳方式:nSpack V2.x

编写语言:Borland C++ DLL Method 2

病毒类型:后门

文件MD5:E391C3283B2A7FF47522C7DE3BFDFC85

文件SHA1:AB33528C0A7917CDF5D4E982005A83549562DF84

文件CRC32:F4F9E3E4

危害等级: ★ ★ ★ ☆

传播方式:网络。

行为分析：

1、释放病毒文件：

%Systemroot%\system32\KYMAO.dll 42748 字节（名字可能不一样）

这个是主体，并使用动态注入技术，插入所有运行中的进程！

%Systemroot%\system32\navcoy.dll 40960 字节

%Systemroot%\system32\ok1.exe 46761 字节

2、遍历进程，如找到QQ.exe进程，则在其目录下生成：

D:\Program Files\QQ\QQ\i.dll 42748 字节

D:\Program Files\QQ\QQ\rasadhlp.dll 8353 字节

3、病毒注入后，检测窗口，尝试关闭：

8749
360safe
wopticlean
kakasetup
ras.exe
btbaicai
wopticlean
360safe
8749病毒
8749专杀
卡卡
安全卫士
IE修复
8749.com病毒
清除8749
删除8749

4、破坏安全模式

删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\下的SafeBoot整个键！

导致安全模式无法进入。

5、并在注册表里留下了病毒的一些版本信息，例如：

HKEY_LOCAL_MACHINE\SOFTWARE\8749 technologies\VERSION
REG_SZ, "07072602 "

HKEY_LOCAL_MACHINE\SOFTWARE\test\Version
Version = REG_SZ, "1.2 "

6、写入注册表：

HKEY_CLASSES_ROOT\Baidu509.Navcot键。

指向的是%Systemroot%\system32\navcoy.dll。

注册BHO，实现打开IE则注入病毒文件：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

指向的是%Systemroot%\system32\navcoy.dll

7、劫持IE主页，修改为：***.8749.com

（重点来了，一起鄙视下）

并由KYMAO.dll 监视，每隔一段时间重写主页（***.8749.com）。

注册表变动：

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page

注册表值 Start Page

改为：REG_SZ, "http://***.8749.com "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\CustomizeSearch

注册表值CustomizeSearch

改为:"http://***.8749.com "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant

注册表值SearchAssistant

改为:REG_SZ, "http://***.8749.com "

8、修改HOST，实现DNS劫持（每隔一段时间连接http://***.8749.com下载HOST列表并修改）：

125.91.1.20 www.37021.net
125.91.1.20 37021.net
125.91.1.20 5235.net
125.91.1.20 www.5235.net
127.0.0.1 www.duba.net
127.0.0.1 duba.net

专杀下载：

３６０‖8七四久砖刹程式.rar 84KB

（转至360安全卫士官方论坛）

手工清除只需要三步，不过却讲究技巧，并且病毒文件名是不固定的所以就不推荐了```

死亡三步曲：

1、冰刃，禁止线程创建，删除：

%Systemroot%\system32\KYMAO.dll 42748 字节（名字可能不一样）

%Systemroot%\system32\navcoy.dll 40960 字节

%Systemroot%\system32\ok1.exe 46761 字节

如果有QQ的话：

D:\Program Files\QQ\QQ\i.dll 42748 字节（名字可能不一样）

D:\Program Files\QQ\QQ\rasadhlp.dll 8353 字节

冰刃注册表功能，删除：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

%Systemroot%\system32\KYMAO.dll

2、重启并监视，重启后SREng修复安全模式（不一定成功）和重置HOST

（也可以找个系统相同的，把SafeBoot键导出。）

3、推荐使用360安全卫士修复被篡改的主页：

http://www.360safe.com

OK，收工。

民间和杀软公司的区别真的很大`。。。

一个流行接近一个月的样本，今晚才收到```

呼``

=。=

本文出自 “孤独更可靠” 博客，请务必保留此出处http://gudugengkekao.blog.51cto.com/172212/35679

上一篇 MySetup.exe（Trojan-Downloader.Win32.Delf.b）　　下一篇警惕—VB版“熊猫烧香”

类别：不务正业``` ┆ 技术圈() ┆ 阅读() ┆ 评论() ┆推送到技术圈 ┆返回首页

相关文章

文章评论

[1楼]

[匿名]51CTO游客

2007-07-26 21:19:27

看来又是对QQ下手的。
威害还是很大的。、
以后又要小心啦，别让自己中标啦

[2楼]

shuzelin

2007-07-26 21:33:18

孤独是正月18生日吗？呵呵，89年的。。混的好拉，佩服！
比我还要大一天哦？我19生日。

[3楼]

孤独更可靠

2007-07-27 07:20:40

对啊``

89.1.18

```

昵称：
验证码：		点击图片可刷新验证码　　博客过2级，无需填写验证码
内容：