用户正在网络中畅游网页网站时，突然发现IE主页居然被改为ｗｗｗ．８７４９．ｃｏｍ，随之而来的是系统文件被损坏，安全模式被破坏，计算机正被可怕的8749快速传播。 该病毒与毒王AV终结者相似，都具备很强的自我保护意识，可终止修复工具，并绕过反病毒软件将自身插入线程隐藏在系统中，只要用户打开带有８７４９字样的窗口，窗口将即刻自行关闭，相关的修复工具、杀毒软件被禁用。有些用户对此是无计可施，只能重装系统了，下面详解一下此病毒的行为特征与对应的处理方法。

    8749病毒描述
    该流氓病毒可通过删除注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot下的所有项目，破坏安全模式（进行安全模式即蓝屏），利用文件占用技术实现自身保护，并结合移动文件、删除文件及写入空信息三种方式清空HOST文件，并修改注册表键值Software\Microsoft\Internet Explorer\Search 、Software\Microsoft\Internet Explorer\Main 以达禁用系统还原，随之修改注册表HKLM\software\microsoft\windows\currentversion\runonce，添加注册表启动项（小提示：病毒名随机生成）。而且此流氓病毒会终止：8749病毒、8749专杀 、清除8749、卡卡、360safe 、安全卫士 、IE修复 、8749.com病毒、删除8749等敏感字符。生成与子DLL同名的SYS驱动程序，监控自身服务注册项，实现被安全软件修改后自动改回目的。并且每隔20分钟将会从主站http://up.yinlew.com:8080/hellohost515.ini?p=%s&t=%d下载网站列表保存在%sys32dir%\andttrs目录中，如：125.91.1.20 www.feixu.net、125.91.1.20 www.allxue.com 等，挂钩ZwCreateFile、ZwLoadDriver,禁止ICESWORD（冰刃）驱动加载，在访问system32\drivers\etc\hosts时即重定向到%sys32dir%\andttrs。

    该流氓病毒还出现黑吃黑、抢地盘迹象，攻击一些曾经影响力较大的老牌流氓软件如：7939、飘雪等，而该8749流氓软件显著的一个特征就是阻止网络用户登录hao123网站，因此很难摆锐利用不正当手段竞争攻击嫌疑。

    8749清除方法
    金山反病毒工程师经过对8749的样本分析，升级了升级了有关8749的特征库与金山毒霸系统清理专家，用户只需进入http://www.duba.net/zt/ksc/down.shtml网站，下载该软件最新版查杀即可，查杀步法如下：打开软件后程序将自动检测恶意软件，如检测到8749病毒，只需全部选中，并清除，完成后重启电脑，修复被病毒破坏的注册表及病毒添加的加载项，接着访问进入网站http://zhuansha.duba.net/259.shtml下载AV终结者专杀工具，修复安全模式即可清除恢复系统。

    束语：面对流氓软件病毒化之路的出现，不安全因素困扰将会增加用户使用难度，而第一时间的查杀与信息的结合必然能将用户损失降低到最小。但是由于上半年国内电脑一半以上曾被病毒感染，以成为全球电脑病毒危害最严重的地区之一，所以下半年国内用户更要当心，只有在提升自身的安全知识技术的前提下才能化险为夷，保持安全的天空。