8749 顶着流氓招牌的病毒
网络安全
读者来信:我的IE主页被窜改成了www.8749.com。在IE浏览器的“Internet选项”中将它设置成原来的主页,但是重启系统后又变成了www.8749.com,即使使用《360安全卫士》、《超级兔子》等安全工具仍无济于事。
我想进入系统的安全模式修复,却每次都蓝屏,实在是没有办法了。请问《电脑报》的安全专家,我是不是中了病毒?如果是的话又该如何清除?杀毒软件好像不管用啊!
安全专家:这是由目前很火爆的一个带有流氓软件性质的病毒8749造成的,有不少网友都深受其害,其特性已经超出了流氓软件的范畴,属于病毒一类。病毒发作时,最主要的现象就是将用户的IE首页修改为www.8749.com,并且无法修改回原来的设置。从中我们可以知道它与8749.com网站有着莫大的联系。
病毒的目的虽然简单,但是它采用了不少“厉害”的保护措施,主要有以下几点:
1.生成的病毒文件名称都是随机的,目的是避免用户通过病毒名搜索病毒的清除方法。并且把病毒文件生成到多个目录中,例如病毒不仅会在系统文件夹的“system32”目录中生成病毒文件,还会在QQ的安装文件夹中生成病毒文件(图1)。
2.修改HOSTS文件,阻止用户访问一些安全网站,并且病毒会联网自动更新该文件;还修改注册表,实现病毒的自启动;最重要的是,破坏系统还原以及安全模式,防止用户将主页修改回来。
3.进程监控,封杀被其列入黑名单的安全工具。防止用户用这些安全工具清除病毒。搜索监控,发现被其列入黑名单的关键字后关闭网页,这样用户想在百度中搜索“8749”就不可能了。
4.将病毒DLL文件插入到资源管理器进程“explorer.exe”中,以此避免自己在“任务管理器”中露出马脚。
以上就是病毒在系统中的一系列行为,可见病毒为了保护自己不被用户删除使用了多种流行病毒的技术,例如修改HOSTS文件的做法和“熊猫烧香”比较类似,生成随机文件名的行为和OSO病毒比较类似,而关闭带有禁止关键字的网页这招则和我们前不久介绍过的“AV终结者”病毒很相像。
那么多种技术结合在一起,普通用户想用一般的办法将IE首页改回来自然不太容易。解决这种病毒要用抽丝剥茧的方法,将它自我保护措施一层一层地剥掉,这样才是清除病毒的正确办法。
8749病毒就这样清除
由于病毒修改的地方较多,因此手动清除起来有一定的难度,所以这里我们使用病毒的专杀工具来清除病毒,至于被病毒修改的注册表、系统文件等,我们则通过其他的安全工具来修复。
Step1: 首先下载8749病毒的专杀工具(下载地址:http:www.cpcw.com/bzsoft/)。下载并运行后,直接单击“开始扫描”按钮进行杀毒(图2)。此外,程序还可以修复被破坏的安全模式。
Step2: 如果安装有QQ,需要将QQ卸载,然后将QQ文件夹整个删除。
Step3: 下载《360安全卫士》,在软件主界面中单击“高级”按钮,在其“IE修复”标签中选中所有项目,单击“立即修复”按钮。这样就能把被窜改的IE设置、HOSTS文件,以及注册表中的一些设置修改过来(图3)。
Step4: 开启系统还原,选择系统未感染病毒前的还原点。
在根据这四步清除病毒后,建议大家再进入安全模式杀一遍病毒,以免漏杀,并阻止其死灰复燃。需要注意的是,8749病毒的变种很多,专杀工具未必能将全部变种检测到并清除干净,所以希望大家这段时间能够少上陌生的网站,减少被病毒感染的几率。
编辑观点:欲灭病毒先终结进程
当今病毒很流行采取自我保护技术,让用户无法通过杀毒软件清除病毒。其实,这类病毒的自我保护措施做得再好,都必然会有一个破绽,那就是进程。进程永远是病毒核心,例如监视用户操作、关闭杀毒软件、保护病毒文件等操作,都离不开进程。
如果能结束病毒的进程就等于让病毒残废,之后解决起来就轻松多了,这一招是百试百灵。结束病毒进程的工具推荐大家使用IceSword,这是一款功能十分强大的安全工具,尤其是对系统内核的检测,让再狡猾的病毒也无处可藏。