瑞星卡卡第二号追杀令:瑞星卡卡一路追杀“7939”变种
瑞星卡卡第二号追杀令:瑞星卡卡一路追杀“7939”变种<br /><br /><br />11月16日,继“my123”流氓软件之后,一个把用户首页修改成“7939.com”的流氓软件遭到瑞星卡卡的追杀,<br /><br />该流氓软件通过感染计算机上的可执行文件进行传播,传播能力超强、受害用户很多。<br /><br />针对该流氓软件(病毒),瑞星发布第二号追杀令,迅速升级瑞星卡卡的免费专杀工具库,向全社会发放“7939”免费专杀工具。<br /><br /> <br />据瑞星反病毒工程师介绍说,与以往流氓软件相比,“7939”有三大技术特征:利用感染文件的方式传播,传播力强、受害人数多;<br /><br />在后台自动频繁升级,逃避追杀;采用Rootkit技术,很难彻底清除。<br /> <br />瑞星反病毒工程师介绍说,随着卡卡3.0的发布,广大非瑞星用户也可以使用反病毒技术来清除大批流氓软件,<br /><br />这给流氓软件编写者带来了很大的生存压力,致使7939、my123等流氓软件疯狂采用病毒传播手段来与瑞星卡卡对抗。<br /><br /><br /><br /><br /> <br /><br />针对my123、7939等恶性流氓软件,瑞星工程师表示,“狐狸再狡猾也斗不过好猎手,我们有足够的技术能力对抗流氓软件的疯狂反扑。<br /><br />针对my123和7939,瑞星卡卡的快速应对机制已经启动,它们的变种只要一出现,就会在最短的时间内被瑞星卡卡杀掉。<br /><br />另外,我们已经追查到7939等流氓软件的背后操纵者相关信息,并且已经向公安机关举报了,将协助有关部门进行调查。”<br /> <br />瑞星工程师的分析和技术追踪表明,该流氓软件的受益者是网址导航站点:<a href="http://WWW.7939.COM" target="_blank">WWW.7939.COM</a>(IP:124.94.142.24),<br /><br />该流氓软件的升级网站为:Clicksad.COM(202.108.251.210),<br /><br />这两台主机的物理地址分别位于辽宁和北京。<br /> <br />瑞星反病毒工程师提醒广大网民,恶性流氓软件7939采用了Rootkit技术来保护自己,很多反流氓软件工具和杀毒软件不能将其彻底清除,<br /><br />致使用户电脑出现“屡杀不绝”的现象。 这些用户可以下载安装“瑞星卡卡3.0”,然后重启电脑,再用杀毒软件查杀。<br /><br />卡卡中集成了独家技术“碎甲(Anti-Rootkit)”,可以破除7939的技术保护,帮助其它安全软件将其彻底清除。<br /> <br />针对“7939”流氓软件(病毒),瑞星将推出“流氓软件7939专杀工具”,并将其集成在卡卡3.0之中,<br /><br />供网民免费下载(<a href="http://tool.ikaka.com" target="_blank">http://tool.ikaka.com</a>)。<br /><br />已经安装了瑞星卡卡的用户,可以点击“立即升级”按钮升级到最新版本,然后利用其集成的“7939专杀工具”对其进行彻底查杀。 <br /><br />附:流氓软件7939分析报告<br /><br />一个感染型病毒。<br /><br />被病毒感染后,首页被篡改并无法改回。<br /><br />可能会造成Winlogon.exe异常,导致系统蓝屏或重起。<br /><br />病毒运行后有以下行为:<br /><br />一、弹出包含以下内容的对话框:(病毒作者制作被感染文件)<br /><br />标题:"捆绑软件"<br /><br />内容为:"是否捆绑 [%CURFILE%] ?"<br /><br />如果用户选择"是"病毒就会感染文件,并有感染完成后弹出包含以下内容的对话框:<br /><br />标题:"恭喜"<br /><br />内容为:"捆绑结束!点击确定程序安全退出!"<br /><br />二、感染以下几个文件:<br /><br />"%WINDIR%\system32\rundll32.exe"<br /><br />"%WINDIR%\rundll32.exe"<br /><br />"%WINDIR%\system32\userinit.exe"<br /><br />"%WINDIR%\regedit.exe"<br /><br />"%WINDIR%\system\runonce.exe"<br /><br />"%WINDIR%\system32\runonce.exe"<br /><br />"IEXPLORE.EXE"<br /><br />感染的方式为修改被感染文件入口,将病毒代码添加被感染文件的尾部。<br /><br />三、在Winlogon.exe、explorer.exe进程空间中创建感染线程,感染文件,使其他应用程序无法修复被感染文件。<br /><br />四、修改注册表以下键值:<br /><br />注册表键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion<br /><br />数据项:"HomePage"<br /><br />数据值为:<a href="http://www.7939.com/" target="_blank">http://www.7939.com/</a><br /><br />五、关闭某杀毒软件的"文件保护"以及"主动防御"功能。<br /><br />六、每周2 下载 1."http://Clicksad.com/****.jpg" (为PE文件)到临时目录并运行!<br /><br />七、根据 "http://Clicksad.com/page.jpg" 文件的内容(网址)修改本地计算机的首页(病毒本身修改7939)。
页:
[1]