最牛小强病毒"8749"作者揭秘

125.91.1.20 www.2345.com
125.91.1.20 www.123wa.com
125.91.1.20 www.ku886.com
125.91.1.20 www.5icrack.com
125.91.1.20 www.jjol.cn
125.91.1.20 www.xinhai168.com
125.91.1.20 ooooos.com
125.91.1.20 www.ooooos.com
125.91.1.20 www.8757.com
125.91.1.20 4199.5009.com
125.91.1.20 www.13886.cn
125.91.1.20 www.8757.com
125.91.1.20 www.baidu345.com
125.91.1.20 www.dedewang.com
125.91.1.20 allxun.5009.cn
125.91.1.20 4199.5009.cn
125.91.1.20 yahoo.5009.cn
125.91.1.20 tom.5009.cn
125.91.1.20 zh130.5009.cn
125.91.1.20 piaoxue.5009.cn
125.91.1.20 3448.5009.cn
125.91.1.20 ttmp3.5009.cn
125.91.1.20 fx120.5009.cn
125.91.1.20 7939.5009.cn
125.91.1.20 99488.5009.cn
125.91.1.20 7333.5009.cn
125.91.1.20 www.ld123.com
125.91.1.20 www.anyiba.com
125.91.1.20 www.999991.cn
125.91.1.20 www.hao123.cn
125.91.1.20 www.3721.com
125.91.1.20 www.haol23.com
125.91.1.20 haol23.com
8、生成与子DLL同名的SYS驱动程序，驱动程序监控自身服务注册项（独立线程监控、WINLOGON启动时监控），如果被安全软件修改，病毒会再改回来。
9、IRP HOOK最底层的文件系统（IRP_MJ_SET_INFORMATION），保护文件，不能删除，不能更名。
10、挂钩ZwCreateFile，在其访问system32\drivers\etc\hosts时，将该访问操作重定向到%sys32dir%\andttrs。相当 于用这个andttrs取代了系统的hosts文件，达到跟修改HOST文件相同的效果，用户只能通过修改andttrs或恢复HOOK阻止本地域名绑定。
11、挂钩ZwLoadDriver,禁止ICESWORD（冰刃）的驱动加载。



最牛小强病毒"8749"的拥有者到底是谁？虽然8749网站域名注册信息查询是胡填的信息，但是更新的网址却泄漏的他的身份http://www.yinlew.com，可以看到他的习惯，例如习惯用ttmp3@MSN.C0M做测试用邮箱等！

[whois.dns.com.cn]

Domain Name.......... Yinlew.com
Creation Date........ 2007-01-16 16:16:11
Registration Date.... 2007-01-16 16:16:11
Expiry Date.......... 2008-01-16 16:16:11
Organisation Name.... xiao re zhang