瑞星卡卡第二号追杀令：瑞星卡卡一路追杀“7939”变种

11月16日，继“my123”流氓软件之后，一个把用户首页修改成“7939.com”的流氓软件遭到瑞星卡卡的追杀，该流氓软件通过感染计算机上的可执行文件进行传播，传播能力超强、受害用户很多。针对该流氓软件（病毒），瑞星发布第二号追杀令，迅速升级瑞星卡卡的免费专杀工具库，向全社会发放“7939”免费专杀工具。

据瑞星反病毒工程师介绍说，与以往流氓软件相比，“7939”有三大技术特征：利用感染文件的方式传播，传播力强、受害人数多；在后台自动频繁升级，逃避追杀；采用Rootkit技术，很难彻底清除。

瑞星反病毒工程师介绍说，随着卡卡3.0的发布，广大非瑞星用户也可以使用反病毒技术来清除大批流氓软件，这给流氓软件编写者带来了很大的生存压力，致使7939、my123等流氓软件疯狂采用病毒传播手段来与瑞星卡卡对抗。

针对my123、7939等恶性流氓软件，瑞星工程师表示，“狐狸再狡猾也斗不过好猎手，我们有足够的技术能力对抗流氓软件的疯狂反扑。针对my123和7939，瑞星卡卡的快速应对机制已经启动，它们的变种只要一出现，就会在最短的时间内被瑞星卡卡杀掉。另外，我们已经追查到7939等流氓软件的背后操纵者相关信息，并且已经向公安机关举报了，将协助有关部门进行调查。”

瑞星工程师的分析和技术追踪表明，该流氓软件的受益者是网址导航站点：WWW.7939.COM（IP：124.94.142.24）,该流氓软件的升级网站为：Clicksad.COM（202.108.251.210），这两台主机的物理地址分别位于辽宁和北京。

瑞星反病毒工程师提醒广大网民，恶性流氓软件7939采用了Rootkit技术来保护自己，很多反流氓软件工具和杀毒软件不能将其彻底清除，致使用户电脑出现“屡杀不绝”的现象。 这些用户可以下载安装“瑞星卡卡3.0”，然后重启电脑，再用杀毒软件查杀。卡卡中集成了独家技术“碎甲（Anti-Rootkit）”，可以破除7939的技术保护，帮助其它安全软件将其彻底清除。

针对“7939”流氓软件（病毒），瑞星将推出“流氓软件7939专杀工具”，并将其集成在卡卡3.0之中，供网民免费下载（http://tool.ikaka.com）。已经安装了瑞星卡卡的用户，可以点击“立即升级”按钮升级到最新版本，然后利用其集成的“7939专杀工具”对其进行彻底查杀。   

附：流氓软件7939分析报告

一个感染型病毒。

被病毒感染后，首页被篡改并无法改回。
可能会造成Winlogon.exe异常，导致系统蓝屏或重起。

病毒运行后有以下行为：
一、弹出包含以下内容的对话框：（病毒作者制作被感染文件）
标题："捆绑软件"
内容为："是否捆绑 [%CURFILE%] ?"
如果用户选择"是"病毒就会感染文件，并有感染完成后弹出包含以下内容的对话框：
标题："恭喜"
内容为："捆绑结束!点击确定程序安全退出!"

二、感染以下几个文件：
"%WINDIR%\system32\rundll32.exe"
"%WINDIR%\rundll32.exe"
"%WINDIR%\system32\userinit.exe"
"%WINDIR%\regedit.exe"
"%WINDIR%\system\runonce.exe"
"%WINDIR%\system32\runonce.exe"
"IEXPLORE.EXE"
感染的方式为修改被感染文件入口，将病毒代码添加被感染文件的尾部。

三、在Winlogon.exe、explorer.exe进程空间中创建感染线程，感染文件，使其他应用程序无法修复被感染文件。

四、修改注册表以下键值：
注册表键：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
数据项："HomePage"
数据值为："http://www.7939.com/"

五、关闭某杀毒软件的"文件保护"以及"主动防御"功能。

六、每周2 下载 1."http://Clicksad.com/****.jpg" （为PE文件）到临时目录并运行！

七、根据 "http://Clicksad.com/page.jpg" 文件的内容（网址）修改本地计算机的首页（病毒本
身修改7939）。

责任编辑 赵毅 zhaoyi#51cto.com TEL:（010）68476636-8001