瑞星卡卡第二號追殺令：瑞星卡卡一路追殺“7939”變種
來源：瑞星公司 時間：2006-11-16 15:11:55
http://it.rising.com.cn/Channels/Info/Vir...661310d38797.shtml

[快訊]11月16日，繼“my123”流氓軟件之後，一個把用戶首頁修改成“7939.com”的流氓軟件遭到瑞星卡卡的追殺，該流氓軟件通過感染計算機上的可執行文件進行傳播，傳播能力超強、受害用戶很多。針對該流氓軟件（病毒），瑞星發布第二號追殺令，迅速升級瑞星卡卡的免費專殺工具庫，向全社會發放“7939”免費專殺工具。
據瑞星反病毒工程師介紹說，與以往流氓軟件相比，“7939”有三大技術特征：利用感染文件的方式傳播，傳播力強、受害人數多；在後台自動頻繁升級，逃避追殺；采用Rootkit技術，很難徹底清除。
瑞星反病毒工程師介紹說，隨著卡卡3.0的發布，廣大非瑞星用戶也可以使用反病毒技術來清除大批流氓軟件，這給流氓軟件編寫者帶來了很大的生存壓力，致使7939、my123等流氓軟件瘋狂采用病毒傳播手段來與瑞星卡卡對抗。

[點擊查看大圖]
針對my123、7939等惡性流氓軟件，瑞星工程師表示，“狐狸再狡猾也鬥不過好獵手，我們有足夠的技術能力對抗流氓軟件的瘋狂反撲。針對my123和7939，瑞星卡卡的快速應對機制已經啓動，它們的變種只要一出現，就會在最短的時間內被瑞星卡卡殺掉。另外，我們已經追查到7939等流氓軟件的背後操縱者相關信息，並且已經向公安機關舉報了，將協助有關部門進行調查。”
瑞星工程師的分析和技術追蹤表明，該流氓軟件的受益者是網址導航站點：WWW.7939.COM（IP：124.94.142.24）,該流氓軟件的升級網站爲：Clicksad.COM（202.108.251.210），這兩台主機的物理地址分別位於遼甯和北京。
瑞星反病毒工程師提醒廣大網民，惡性流氓軟件7939采用了Rootkit技術來保護自己，很多反流氓軟件工具和殺毒軟件不能將其徹底清除，致使用戶電腦出現“屢殺不絕”的現象。 這些用戶可以下載安裝“瑞星卡卡3.0”，然後重啓電腦，再用殺毒軟件查殺。卡卡中集成了獨家技術“碎甲（Anti-Rootkit）”，可以破除7939的技術保護，幫助其它安全軟件將其徹底清除。
針對“7939”流氓軟件（病毒），瑞星將推出“流氓軟件7939專殺工具”，並將其集成在卡卡3.0之中，供網民免費下載（ http://tool.i...com/ ）。已經安裝了瑞星卡卡的用戶，可以點擊“立即升級”按鈕升級到最新版本，然後利用其集成的“7939專殺工具”對其進行徹底查殺。  
附：流氓軟件7939分析報告
一個感染型病毒。
被病毒感染後，首頁被篡改並無法改回。
可能會造成Winlogon.exe異常，導致係統藍屏或重起。
病毒運行後有以下行爲：
一、彈出包含以下內容的對話框：（病毒作者制作被感染文件）
標題："捆綁軟件"
內容爲："是否捆綁 [%CURFILE%] ?"
如果用戶選擇"是"病毒就會感染文件，並有感染完成後彈出包含以下內容的對話框：
標題："恭喜"
內容爲："捆綁結束!點擊確定程序安全退出!"
二、感染以下幾個文件：
"%WINDIR%\system32\rundll32.exe"
"%WINDIR%\rundll32.exe"
"%WINDIR%\system32\userinit.exe"
"%WINDIR%\regedit.exe"
"%WINDIR%\system\runonce.exe"
"%WINDIR%\system32\runonce.exe"
"IEXPLORE.EXE"
感染的方式爲修改被感染文件入口，將病毒代碼添加被感染文件的尾部。
三、在Winlogon.exe、explorer.exe進程空間中創建感染線程，感染文件，使其他應用程序無法修複被感染文件。
四、修改注冊表以下鍵值：
注冊表鍵：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
數據項："HomePage"
數據值爲：" http://www.7939.com/"
五、關閉某殺毒軟件的"文件保護"以及"主動防禦"功能。
六、每周2 下載 1." http://click...com/ ****.jpg" （爲PE文件）到臨時目錄並運行！
七、根據 "ht_p://clicksad.com/page.jpg" 文件的內容（網址）修改本地計算機的首頁（病毒本
身修改7939）。