流氓软件8749再更新　关闭金山清理专家_安全中国

上周末，流氓软件8749再次更新，新版本针对金山清理专家做了改进，导致金山清理专家运行失败。

以下是新版8749流氓软件的分析报告。

1.保护模块

1.1关闭出现特定字符串的窗口

一些常见安全软件的字符串都在列表，即使用IE打开搜索页面，搜索这些字符，窗口也会被关闭。出问题的时候，用户也无法求助于搜索引擎。当前版本中，被屏蔽的字符列表包含（各版本有所差异）：

360safe
Wopticlean
Kakasetup
ras.exe
金山毒霸
Btbaicai
Wopticlean
360safe
卡卡
IE修复
安全卫士
病毒
流氓
专杀
锁定浏览器
修改
修复
清除
删除
中了百度知道

1.2反金山清理专家(本版新增功能）

关闭KASMain.exe进程

清除SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce下的KASTask

1.3劫持HOST文件

当前版本列表（各版本有所不同）：

125.91.1.20 www.37021.net
125.91.1.20 37021.net
125.91.1.20 5235.net
125.91.1.20 www.5235.net
125.91.1.20 www.7255.com
125.91.1.20 www.2345.com
125.91.1.20 www.9991.com
125.91.1.20 www.haol23.net
125.91.1.20 www.kzdh.com
125.91.1.20 www.qu123.com
127.0.0.1 www.duba.net
127.0.0.1 duba.net
127.0.0.1 bbs.360safe.com
127.0.0.1 www.okbihoo.cn
127.0.0.1 okbihoo.cn

1.4系统DLL注入QQ（病毒启动10分钟之后）

利用LOADLIBRARY在不传入全路径的情况下会先从当前目录尝试读取DLL的特性，在系统目录复制rasadhlp.dll，通过在该DLL的输入目录中添加自己的DLL，以达到随QQ一起启动的目的。

1.5文件占用

以CreateFile打开自己的程序文件，使文件处于被占用的状态。

1.6禁用XP自带的系统还原

在SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore的DisableSR键值改成1。

1.7破坏安全模式

把System\CurrentControlSet\Control\SafeBoot下的所有注册表项都清空

1.8全局钩子INLINE HOOK REGENUMVALUE

5字节的HOT PATCH，由于消息钩子是在窗口出现之后才把对应的DLL加载到内存中的，也就是说在多线程的环境下，该病毒有可能导致程序崩溃。该钩子的作用是隐藏自己在注册表中的启动项

1.9加密文件名，注册表启动项

其算法主要是根据本地C盘信息，根据其2进制值，对编码表的长度求余，获取编码表中对应的字符生成的。根据不同需要，生成规则略有差异。

1.10改写自身程序文件时间

获取kernel32.dll的创建时间修改时间和访问时间，修改自身文件时间与其相一致，逃避根据文件创建时间的检查。

2.功能模块

2.1修改IE，将搜索主页和默认主页修改为http://www.8749.com

Software\Microsoft\Internet Explorer\Search
Software\Microsoft\Internet Explorer\Main

值得注意的是这里使用了慢速概念，在程序运行后的10分钟之后（Sleep函数）才实现这部分功能。和前几个版本有所不同

2.2远程控制（一个非常危险的信号，除了劫持浏览器，被远程控制后，可以带来更严重的影响）

最基本的远程控制模块，包括一个以当前版本号，网络适配器信息和C盘的硬件信息为标记，发送数据包通知服务端在线的模块，以及能够响应服务端命令，下载并执行程序的模块。

2.3自动更新

当版本号与服务端不一致的时候，会自动下载最新版并覆盖原来的版本。

流氓软件8749再更新 关闭金山清理专家

流氓软件8749再更新　关闭金山清理专家