瑞星卡卡第二号追杀令：瑞星卡卡一路追杀“7939”变种

tanling111

瑞星卡卡第二号追杀令：瑞星卡卡一路追杀“7939”变种<br /><br /><br />11月16日，继“my123”流氓软件之后，一个把用户首页修改成“7939.com”的流氓软件遭到瑞星卡卡的追杀，<br /><br />该流氓软件通过感染计算机上的可执行文件进行传播，传播能力超强、受害用户很多。<br /><br />针对该流氓软件（病毒），瑞星发布第二号追杀令，迅速升级瑞星卡卡的免费专杀工具库，向全社会发放“7939”免费专杀工具。<br /><br />&nbsp; &nbsp; <br />据瑞星反病毒工程师介绍说，与以往流氓软件相比，“7939”有三大技术特征：利用感染文件的方式传播，传播力强、受害人数多；<br /><br />在后台自动频繁升级，逃避追杀；采用Rootkit技术，很难彻底清除。<br />&nbsp; &nbsp; <br />瑞星反病毒工程师介绍说，随着卡卡3.0的发布，广大非瑞星用户也可以使用反病毒技术来清除大批流氓软件，<br /><br />这给流氓软件编写者带来了很大的生存压力，致使7939、my123等流氓软件疯狂采用病毒传播手段来与瑞星卡卡对抗。<br /><br /><br /><br /><br />&nbsp; &nbsp; <br /><br />针对my123、7939等恶性流氓软件，瑞星工程师表示，“狐狸再狡猾也斗不过好猎手，我们有足够的技术能力对抗流氓软件的疯狂反扑。<br /><br />针对my123和7939，瑞星卡卡的快速应对机制已经启动，它们的变种只要一出现，就会在最短的时间内被瑞星卡卡杀掉。<br /><br />另外，我们已经追查到7939等流氓软件的背后操纵者相关信息，并且已经向公安机关举报了，将协助有关部门进行调查。”<br />&nbsp; &nbsp; <br />瑞星工程师的分析和技术追踪表明，该流氓软件的受益者是网址导航站点：<a href="http://WWW.7939.COM" target="_blank">WWW.7939.COM</a>（IP：124.94.142.24）,<br /><br />该流氓软件的升级网站为：Clicksad.COM（202.108.251.210），<br /><br />这两台主机的物理地址分别位于辽宁和北京。<br />&nbsp; &nbsp; <br />瑞星反病毒工程师提醒广大网民，恶性流氓软件7939采用了Rootkit技术来保护自己，很多反流氓软件工具和杀毒软件不能将其彻底清除，<br /><br />致使用户电脑出现“屡杀不绝”的现象。 这些用户可以下载安装“瑞星卡卡3.0”，然后重启电脑，再用杀毒软件查杀。<br /><br />卡卡中集成了独家技术“碎甲（Anti-Rootkit）”，可以破除7939的技术保护，帮助其它安全软件将其彻底清除。<br />&nbsp; &nbsp; <br />针对“7939”流氓软件（病毒），瑞星将推出“流氓软件7939专杀工具”，并将其集成在卡卡3.0之中，<br /><br />供网民免费下载（<a href="http://tool.ikaka.com" target="_blank">http://tool.ikaka.com</a>）。<br /><br />已经安装了瑞星卡卡的用户，可以点击“立即升级”按钮升级到最新版本，然后利用其集成的“7939专杀工具”对其进行彻底查杀。&nbsp; &nbsp; <br /><br />附：流氓软件7939分析报告<br /><br />一个感染型病毒。<br /><br />被病毒感染后，首页被篡改并无法改回。<br /><br />可能会造成Winlogon.exe异常，导致系统蓝屏或重起。<br /><br />病毒运行后有以下行为：<br /><br />一、弹出包含以下内容的对话框：（病毒作者制作被感染文件）<br /><br />标题：&quot;捆绑软件&quot;<br /><br />内容为：&quot;是否捆绑 [%CURFILE%] ?&quot;<br /><br />如果用户选择&quot;是&quot;病毒就会感染文件，并有感染完成后弹出包含以下内容的对话框：<br /><br />标题：&quot;恭喜&quot;<br /><br />内容为：&quot;捆绑结束!点击确定程序安全退出!&quot;<br /><br />二、感染以下几个文件：<br /><br />&quot;%WINDIR%\system32\rundll32.exe&quot;<br /><br />&quot;%WINDIR%\rundll32.exe&quot;<br /><br />&quot;%WINDIR%\system32\userinit.exe&quot;<br /><br />&quot;%WINDIR%\regedit.exe&quot;<br /><br />&quot;%WINDIR%\system\runonce.exe&quot;<br /><br />&quot;%WINDIR%\system32\runonce.exe&quot;<br /><br />&quot;IEXPLORE.EXE&quot;<br /><br />感染的方式为修改被感染文件入口，将病毒代码添加被感染文件的尾部。<br /><br />三、在Winlogon.exe、explorer.exe进程空间中创建感染线程，感染文件，使其他应用程序无法修复被感染文件。<br /><br />四、修改注册表以下键值：<br /><br />注册表键：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion<br /><br />数据项：&quot;HomePage&quot;<br /><br />数据值为：<a href="http://www.7939.com/" target="_blank">http://www.7939.com/</a><br /><br />五、关闭某杀毒软件的&quot;文件保护&quot;以及&quot;主动防御&quot;功能。<br /><br />六、每周2 下载 1.&quot;http://Clicksad.com/****.jpg&quot; （为PE文件）到临时目录并运行！<br /><br />七、根据 &quot;http://Clicksad.com/page.jpg&quot; 文件的内容（网址）修改本地计算机的首页（病毒本身修改7939）。