| |
今天抓到一个典型的改写DNS设置进行欺诈的病毒,中毒后,本来是自动获取IP地址,自动获取DNS的设置被锁定为指定的IP,并且该设置在清除病毒前不可修改。
金山反病毒中心将此病毒命名为“西伯利亚渔夫”(Win32.Troj.Agent.ib.69632) 威胁级别:★★
因为任何人上网都是通过DNS服务器解析域名找到相应主机的,这种劫持用户DNS服务器设置的攻击行为,将会带来严重风险。
比如:病毒可以将网上银行的网站解析到一个精心设计的钓鱼网站,从而轻易得到用户的机密信息。估计类似的劫持行为,会被更多不怀好意的攻击者利用。
该病毒的行为有:
1.关闭 Dnscache 服务;
修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DhcpNameServer 和 NameServer
85.2*5.1*4.106,85.2*5.1*2.1*5
修改DNS服务器到白俄罗斯的域名解析服务器。
重新打开Dnscache服务。
毒霸反病毒工程师跟踪该毒多个变种中包含的服务器地址后发现,此毒所指向的域名解析服务器主要位于俄罗斯、白俄罗斯、乌克兰等地区,不过,这并不代表此毒就一定是这些地区黑客的作品,因为黑客们通常都是在全球各地租用服务器作案的。
2:检查进程ieuser.exe,找到了就结束该进程
复制自身到%sys32dir%\kdxxx.exe的中,xxx为3位"a--z"的随机小写字母,同时复制explorer.exe到%sys32dir%下
3.添加注册表启动项:
Software\Microsoft\Windows NT\CurrentVersion\Winlogon system 指向病毒文件
Software\Microsoft\Windows\CurrentVersion run 指向病毒文件
运行msconfig可以看到病毒添加的启动项
如果系统是Vista,会添加一个服务启动项: Windows Tribute Service |
|
|
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
