2007年7月25日，51CTO從金山毒霸反病毒中心獲悉，一名為8749的流氓軟件正在互聯(lián)網(wǎng)上大肆傳播，并上演了一場“黑吃黑”的流氓軟件大戰(zhàn)，不但大量用戶IE首頁被篡改為www.8749.com,而且一些曾經(jīng)極具影響力的同類“流氓”軟件也被攻擊。
8749每次入侵后生成的程序是隨機(jī)的，不同的電腦中招后會(huì)發(fā)現(xiàn)不同的程序,而且還破壞了安全模式，并監(jiān)視注冊(cè)表鍵，即使您使用金山毒霸的AV終結(jié)者專殺工具，也不能在其運(yùn)行時(shí)，修復(fù)被破壞的安全模式，造成手工解除非常困難。
金山毒霸已經(jīng)緊急升級(jí)了有關(guān)8749的特征庫，需要將金山毒霸查毒和金山清理專家的文件粉碎器結(jié)合使用，將8749清除掉。金山清理專家也正在緊急升級(jí)中，升級(jí)后，可順利將8749清除。已經(jīng)受8749困擾的用戶，可參考以下步驟修復(fù)系統(tǒng)。
1.使用金山清理專家，程序會(huì)自動(dòng)檢測惡意軟件，檢測到8749病毒后，點(diǎn)擊全選，再點(diǎn)清除選中項(xiàng)。

2.立即重啟電腦，使用金山清理專家修復(fù)被病毒破壞的注冊(cè)表，修復(fù)被病毒添加的加載項(xiàng)
3.訪問http://zhuansha.duba.net/259.shtml下載AV終結(jié)者專殺工具修復(fù)被破壞的安全模式。
4.右鍵單擊我的電腦，選擇屬性，點(diǎn)擊“系統(tǒng)還原”標(biāo)簽頁，把禁用的勾去掉。建議至少要選擇保護(hù)C分區(qū)，在系統(tǒng)遇到緊急故障時(shí)，利用系統(tǒng)還原可以減少恢復(fù)系統(tǒng)的成本。
毒霸用戶發(fā)現(xiàn)病毒無法處理時(shí)，推薦下載清理專家2.0，下載地址：
http://www.duba.net/zt/ksc/down.shtml
8749病毒詳細(xì)分析報(bào)告
病毒行為：
1.使用刪除文件，移動(dòng)文件，寫入空信息等三種方式清空HOST文件
2.病毒利用文件占用技術(shù)，實(shí)現(xiàn)對(duì)自身程序文件的保護(hù)
3.修改注冊(cè)表鍵，禁用XP的系統(tǒng)還原
Software\Microsoft\Internet Explorer\Search
Software\Microsoft\Internet Explorer\Main
4.添加注冊(cè)表啟動(dòng)項(xiàng)，因病毒名是隨機(jī)生成，不同的電腦，感染的文件并不完全一致。修改注冊(cè)表HKLM\software\microsoft\windows\currentversion\runonce，實(shí)現(xiàn)自動(dòng)注冊(cè)組件。
5.破壞安全模式（清空注冊(cè)表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot下的所有項(xiàng)目），使你不能進(jìn)入安全模式調(diào)試系統(tǒng)。啟動(dòng)系統(tǒng)到安全模式會(huì)藍(lán)屏 

6.終止所有包含下列字符的窗口的進(jìn)程。
btbaicai
wopticlean
360safe
8749病毒
8749專殺
卡卡
安全衛(wèi)士
IE修復(fù)
8749.com病毒
清除8749
刪除8749
7.子DLL，每20分鐘從http://up.yinlew.com:8080/hellohost515.ini?p=%s&t=%d下載一個(gè)要阻止訪問的網(wǎng)站列表，下載后的文件保存在%sys32dir%\andttrs文件中。類似以下內(nèi)容：
125.91.1.20 www.kzdh.com
125.91.1.20 www.7255.com
125.91.1.20 www.7322.com
125.91.1.20 www.7939.com
125.91.1.20 www.piaoxue.com
125.91.1.20 www.feixu.net
125.91.1.20 www.6781.com
125.91.1.20 www.7b.com.cn
125.91.1.20 www.918188.com
125.91.1.20 hao.allxue.com
125.91.1.20 good.allxue.com
125.91.1.20 baby.allxue.com
125.91.1.20 www.allxue.com
125.91.1.20 about.lank.la
125.91.1.20 www.x114x.com
125.91.1.20 www.37ss.com
125.91.1.20 www.7k.cc
125.91.1.20 www.73ss.com
125.91.1.20 www.hao123.com
125.91.1.20 www.81915.com
125.91.1.20 www.9991.com
125.91.1.20 www.my123.com
125.91.1.20 www.haokan123.com
125.91.1.20 www.5566.net
125.91.1.20 www.gjj.cc
125.91.1.20 www.2345.com
125.91.1.20 www.123wa.com
125.91.1.20 www.ku886.com
125.91.1.20 www.5icrack.com
125.91.1.20 www.jjol.cn
125.91.1.20 www.xinhai168.com
125.91.1.20 ooooos.com
125.91.1.20 www.ooooos.com
125.91.1.20 www.8757.com
125.91.1.20 4199.5009.com
125.91.1.20 www.13886.cn
125.91.1.20 www.8757.com
125.91.1.20 www.baidu345.com
125.91.1.20 www.dedewang.com
125.91.1.20 allxun.5009.cn
125.91.1.20 4199.5009.cn
125.91.1.20 yahoo.5009.cn
125.91.1.20 tom.5009.cn
125.91.1.20 zh130.5009.cn
125.91.1.20 piaoxue.5009.cn
125.91.1.20 3448.5009.cn
125.91.1.20 ttmp3.5009.cn
125.91.1.20 fx120.5009.cn
125.91.1.20 7939.5009.cn
125.91.1.20 99488.5009.cn
125.91.1.20 7333.5009.cn
125.91.1.20 www.ld123.com
125.91.1.20 www.anyiba.com
125.91.1.20 www.999991.cn
125.91.1.20 www.hao123.cn
125.91.1.20 www.3721.com
125.91.1.20 www.haol23.com
125.91.1.20 haol23.com
8.生成與子DLL同名的SYS驅(qū)動(dòng)程序，驅(qū)動(dòng)程序監(jiān)控自身服務(wù)注冊(cè)項(xiàng)（獨(dú)立線程監(jiān)控、WINLOGON啟動(dòng)時(shí)監(jiān)控），如果被安全軟件修改，病毒會(huì)再改回來。
9.IRP HOOK最底層的文件系統(tǒng)（IRP_MJ_SET_INFORMATION），保護(hù)文件，不能刪除，不能更名。
10.掛鉤ZwCreateFile，在其訪問system32\drivers\etc\hosts時(shí)，將該訪問操作重定向到%sys32dir%\andttrs。相當(dāng) 于用這個(gè)andttrs取代了系統(tǒng)的hosts文件，達(dá)到跟修改HOST文件相同的效果，用戶只能通過修改andttrs或恢復(fù)HOOK阻止本地域名綁定。
11.掛鉤ZwLoadDriver,禁止ICESWORD（冰刃）的驅(qū)動(dòng)加載。