2007年7月25日，51CTO從金山毒霸反病毒中心獲悉，一名為8749的流氓軟件正在互聯網上大肆傳播，并上演了一場“黑吃黑”的流氓軟件大戰，不但大量用戶IE首頁被篡改為www.8749.com,而且一些曾經極具影響力的同類“流氓”軟件也被攻擊。
8749每次入侵后生成的程序是隨機的，不同的電腦中招后會發現不同的程序,而且還破壞了安全模式，并監視注冊表鍵，即使您使用金山毒霸的AV終結者專殺工具，也不能在其運行時，修復被破壞的安全模式，造成手工解除非常困難。
金山毒霸已經緊急升級了有關8749的特征庫，需要將金山毒霸查毒和金山清理專家的文件粉碎器結合使用，將8749清除掉。金山清理專家也正在緊急升級中，升級后，可順利將8749清除。已經受8749困擾的用戶，可參考以下步驟修復系統。
1.使用金山清理專家，程序會自動檢測惡意軟件，檢測到8749病毒后，點擊全選，再點清除選中項。

2.立即重啟電腦，使用金山清理專家修復被病毒破壞的注冊表，修復被病毒添加的加載項
3.訪問http://zhuansha.duba.net/259.shtml下載AV終結者專殺工具修復被破壞的安全模式。
4.右鍵單擊我的電腦，選擇屬性，點擊“系統還原”標簽頁，把禁用的勾去掉。建議至少要選擇保護C分區，在系統遇到緊急故障時，利用系統還原可以減少恢復系統的成本。
毒霸用戶發現病毒無法處理時，推薦下載清理專家2.0，下載地址：
http://www.duba.net/zt/ksc/down.shtml
8749病毒詳細分析報告
病毒行為：
1.使用刪除文件，移動文件，寫入空信息等三種方式清空HOST文件
2.病毒利用文件占用技術，實現對自身程序文件的保護
3.修改注冊表鍵，禁用XP的系統還原
Software\Microsoft\Internet Explorer\Search
Software\Microsoft\Internet Explorer\Main
4.添加注冊表啟動項，因病毒名是隨機生成，不同的電腦，感染的文件并不完全一致。修改注冊表HKLM\software\microsoft\windows\currentversion\runonce，實現自動注冊組件。
5.破壞安全模式（清空注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot下的所有項目），使你不能進入安全模式調試系統。啟動系統到安全模式會藍屏 

6.終止所有包含下列字符的窗口的進程。
btbaicai
wopticlean
360safe
8749病毒
8749專殺
卡卡
安全衛士
IE修復
8749.com病毒
清除8749
刪除8749
7.子DLL，每20分鐘從http://up.yinlew.com:8080/hellohost515.ini?p=%s&t=%d下載一個要阻止訪問的網站列表，下載后的文件保存在%sys32dir%\andttrs文件中。類似以下內容：
125.91.1.20 www.kzdh.com
125.91.1.20 www.7255.com
125.91.1.20 www.7322.com
125.91.1.20 www.7939.com
125.91.1.20 www.piaoxue.com
125.91.1.20 www.feixu.net
125.91.1.20 www.6781.com
125.91.1.20 www.7b.com.cn
125.91.1.20 www.918188.com
125.91.1.20 hao.allxue.com
125.91.1.20 good.allxue.com
125.91.1.20 baby.allxue.com
125.91.1.20 www.allxue.com
125.91.1.20 about.lank.la
125.91.1.20 www.x114x.com
125.91.1.20 www.37ss.com
125.91.1.20 www.7k.cc
125.91.1.20 www.73ss.com
125.91.1.20 www.hao123.com
125.91.1.20 www.81915.com
125.91.1.20 www.9991.com
125.91.1.20 www.my123.com
125.91.1.20 www.haokan123.com
125.91.1.20 www.5566.net
125.91.1.20 www.gjj.cc
125.91.1.20 www.2345.com
125.91.1.20 www.123wa.com
125.91.1.20 www.ku886.com
125.91.1.20 www.5icrack.com
125.91.1.20 www.jjol.cn
125.91.1.20 www.xinhai168.com
125.91.1.20 ooooos.com
125.91.1.20 www.ooooos.com
125.91.1.20 www.8757.com
125.91.1.20 4199.5009.com
125.91.1.20 www.13886.cn
125.91.1.20 www.8757.com
125.91.1.20 www.baidu345.com
125.91.1.20 www.dedewang.com
125.91.1.20 allxun.5009.cn
125.91.1.20 4199.5009.cn
125.91.1.20 yahoo.5009.cn
125.91.1.20 tom.5009.cn
125.91.1.20 zh130.5009.cn
125.91.1.20 piaoxue.5009.cn
125.91.1.20 3448.5009.cn
125.91.1.20 ttmp3.5009.cn
125.91.1.20 fx120.5009.cn
125.91.1.20 7939.5009.cn
125.91.1.20 99488.5009.cn
125.91.1.20 7333.5009.cn
125.91.1.20 www.ld123.com
125.91.1.20 www.anyiba.com
125.91.1.20 www.999991.cn
125.91.1.20 www.hao123.cn
125.91.1.20 www.3721.com
125.91.1.20 www.haol23.com
125.91.1.20 haol23.com
8.生成與子DLL同名的SYS驅動程序，驅動程序監控自身服務注冊項（獨立線程監控、WINLOGON啟動時監控），如果被安全軟件修改，病毒會再改回來。
9.IRP HOOK最底層的文件系統（IRP_MJ_SET_INFORMATION），保護文件，不能刪除，不能更名。
10.掛鉤ZwCreateFile，在其訪問system32\drivers\etc\hosts時，將該訪問操作重定向到%sys32dir%\andttrs。相當 于用這個andttrs取代了系統的hosts文件，達到跟修改HOST文件相同的效果，用戶只能通過修改andttrs或恢復HOOK阻止本地域名綁定。
11.掛鉤ZwLoadDriver,禁止ICESWORD（冰刃）的驅動加載。