3448

3448,指瀏覽器首頁被修改為“w**.3448.com”,無法修改等流氓軟體現象;

基本介紹

  • 中文名:3448
  • 外文名:3448
  • 修改為:“w**.3448.com”
  • 兩處註冊表:使自己能依靠Rundll32
現象描述,主要特點,解決方案,

現象描述

1,瀏覽器首頁被修改為“w**.3448.com”,無法修改。
2,病毒通過API HOOK自我保護。
3,可修改註冊表,感染QQ檔案導入表。
4,搜尋進程名或者視窗文字包含特殊字元串的進程,發現後關閉計算機。
專殺工具可完全清除3448、4199、7939等流氓軟體,該類流氓軟體是一些更改IE瀏覽器首頁地址的病毒,它們會不斷的修改用戶IE瀏覽器的主頁,給用戶帶來極大的不便,並通過HOOK技術隱藏自己。

主要特點

1.檔案註冊
病毒是一個DLL格式的檔案,它利用DLL的一個函式名為Rundll32的函式把自己註冊到系統中。
並且把系統中的Rundll32.exe複製一份副本,改名為8yo.exe(隨機檔案名稱)
之後病毒把自己複製到以下的地方:
%system%\j9zpf.dll(隨機檔案名稱)
並釋放另外一份病毒檔案
%system%\drivers\d3t.sys (隨機檔案名稱)
2.更改註冊表
病毒會更改以下兩處註冊表,使自己能依靠Rundll32隨Windows啟動。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVerion\Run
5v(隨機) -> C:\WINDOWS\system32\rundll32.exe j9zpf.dll Rundll32
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVerion\Run
8yo.exe(隨機) -> C:\WINDOWS\system32\8yo.exe C:\WINDOWS\system32\drivers\d3t.sys Rundll32
3.在QQ的安轉目錄拷貝病毒檔案的一個副本,並替換掉QQ目錄下的檔案TIMProxy.dll,達到啟動病毒的目的。
4.中止指定進程
病毒會不斷的檢測系統中的視窗,一但發現視窗標題欄上包含以下字元的,
或系統中進程名包含以下字元串的進程時,強行關閉計算機。
字元包括:
kill
3448
7939
4199
360save
專殺
yaass
filemon
regmon
wopticlean
4199_9505
4199 9505
41999505
9505專殺
4199.com/9505.com
icesword
3448專殺
unlocker
killbox
hijack
ollydbg
ewido anti-spyware
taskmgr
5.注入HOOK
兩個病毒檔案(j9zpf.dll與d3t.sys)會注入到系統中每一個進程的空間,
並使用了HOOK技術,隱藏了病毒添加的註冊表項目。
使用戶在註冊表編輯器或一些用戶級的系統軟體中無法看到病毒添加的項目。
6.更改IE主頁
病毒會不斷的更改IE的主頁為固定網址。
嚴重影響了用戶的工作。

解決方案

1,安裝卡巴斯基2009,點擊“升級”按鈕,升級到最新版本,重新啟動計算機。
2,點擊“全盤掃描”按鈕,進行全盤防毒;

相關詞條

熱門詞條

聯絡我們