2007年7月25日，中国安全信息网从金山毒霸反病毒中心获悉，一名为8749的流氓软件正在互联网上大肆传播，并上演了一场“黑吃黑”的流氓软件大战，不但大量用户IE首页被篡改为www.8749.com,而且一些曾经极具影响力的同类“流氓”软件也被攻击。

8749每次入侵后生成的程序是随机的，不同的电脑中招后会发现不同的程序,而且还破坏了安全模式，并监视注册表键，即使您使用金山毒霸的AV终结者专杀工具，也不能在其运行时，修复被破坏的安全模式，造成手工解除非常困难。

金山毒霸已经紧急升级了有关8749的特征库，需要将金山毒霸查毒和金山清理专家的文件粉碎器结合使用，将8749清除掉。金山清理专家也正在紧急升级中，升级后，可顺利将8749清除。已经受8749困扰的用户，可参考以下步骤修复系统。

1.使用金山清理专家，程序会自动检测恶意软件，检测到8749病毒后，点击全选，再点清除选中项。

2.立即重启电脑，使用金山清理专家修复被病毒破坏的注册表，修复被病毒添加的加载项

3.访问http://zhuansha.duba.net/259.shtml下载AV终结者专杀工具修复被破坏的安全模式。

4.右键单击我的电脑，选择属性，点击“系统还原”标签页，把禁用的勾去掉。建议至少要选择保护C分区，在系统遇到紧急故障时，利用系统还原可以减少恢复系统的成本。

毒霸用户发现病毒无法处理时，推荐下载清理专家2.0，下载地址：

http://www.duba.net/zt/ksc/down.shtml

8749病毒详细分析报告

病毒行为：

1.使用删除文件，移动文件，写入空信息等三种方式清空HOST文件

2.病毒利用文件占用技术，实现对自身程序文件的保护

3.修改注册表键，禁用XP的系统还原

Software\Microsoft\Internet Explorer\Search

Software\Microsoft\Internet Explorer\Main

4.添加注册表启动项，因病毒名是随机生成，不同的电脑，感染的文件并不完全一致。修改注册表HKLM\software\microsoft\windows\currentversion\runonce，实现自动注册组件。

5.破坏安全模式（清空注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot下的所有项目），使你不能进入安全模式调试系统。启动系统到安全模式会蓝屏

6.终止所有包含下列字符的窗口的进程。

btbaicai
wopticlean

360safe

8749病毒

8749专杀

卡卡

安全卫士

IE