8749病毒分析报告　了解病毒化流氓软件

7.子DLL，每20分钟从http://up.yinlew.com:8080/hellohost515.ini?p=%s&t=%d下载一个要阻止访问的网站列表，下载后的文件保存在%sys32dir%andttrs文件中。类似以下内容：

125.91.1.20 www.kzdh.com
125.91.1.20 www.7255.com
125.91.1.20 www.7322.com
125.91.1.20 www.7939.com
125.91.1.20 www.piaoxue.com
125.91.1.20 www.feixu.net
125.91.1.20 www.6781.com
125.91.1.20 www.7b.com.cn
125.91.1.20 www.918188.com
125.91.1.20 hao.allxue.com
125.91.1.20 good.allxue.com
125.91.1.20 baby.allxue.com
125.91.1.20 www.allxue.com
125.91.1.20 about.lank.la
125.91.1.20 www.x114x.com
125.91.1.20 www.37ss.com
125.91.1.20 www.7k.cc
125.91.1.20 www.73ss.com
125.91.1.20 www.hao123.com
125.91.1.20 www.81915.com
125.91.1.20 www.9991.com
125.91.1.20 www.my123.com
125.91.1.20 www.haokan123.com
125.91.1.20 www.5566.net
125.91.1.20 www.gjj.cc
125.91.1.20 www.2345.com
125.91.1.20 www.123wa.com
125.91.1.20 www.ku886.com
125.91.1.20 www.5icrack.com
125.91.1.20 www.jjol.cn
125.91.1.20 www.xinhai168.com
125.91.1.20 ooooos.com
125.91.1.20 www.ooooos.com
125.91.1.20 www.8757.com
125.91.1.20 4199.5009.com
125.91.1.20 www.13886.cn
125.91.1.20 www.8757.com
125.91.1.20 www.baidu345.com
125.91.1.20 www.dedewang.com
125.91.1.20 allxun.5009.cn
125.91.1.20 4199.5009.cn
125.91.1.20 yahoo.5009.cn
125.91.1.20 tom.5009.cn
125.91.1.20 zh130.5009.cn
125.91.1.20 piaoxue.5009.cn
125.91.1.20 3448.5009.cn
125.91.1.20 ttmp3.5009.cn
125.91.1.20 fx120.5009.cn
125.91.1.20 7939.5009.cn
125.91.1.20 99488.5009.cn
125.91.1.20 7333.5009.cn
125.91.1.20 www.ld123.com
125.91.1.20 www.anyiba.com
125.91.1.20 www.999991.cn
125.91.1.20 www.hao123.cn
125.91.1.20 www.3721.com
125.91.1.20 www.haol23.com
125.91.1.20 haol23.com

8.生成与子DLL同名的SYS驱动程序，驱动程序监控自身服务注册项（独立线程监控、WINLOGON启动时监控），如果被安全软件修改，病毒会再改回来。

9.IRP HOOK最底层的文件系统（IRP_MJ_SET_INFORMATION），保护文件，不能删除，不能更名。

10.挂钩ZwCreateFile，在其访问system32driversetchosts时，将该访问操作重定向到%sys32dir%andttrs。相当于用这个andttrs取代了系统的hosts文件，达到跟修改HOST文件相同的效果，用户只能通过修改andttrs或恢复HOOK阻止本地域名绑定。

11.挂钩ZwLoadDriver，禁止ICESWORD（冰刃）的驱动加载。