西伯利亞漁夫強改DNS設置及解決

http://m.yibo1263.com　2008-12-10 8:08:55 　來源:東北IT網(wǎng) 　編輯:葉子

　　今天抓到一個典型的改寫DNS設置進行欺詐的病毒，中毒后，本來是自動獲取IP地址，自動獲取DNS的設置被鎖定為指定的IP，并且該設置在清除病毒前不可修改。

　　西伯利亞漁夫

　　金山反病毒中心將此病毒命名為“西伯利亞漁夫”（Win32.Troj.Agent.ib.69632) 威脅級別：★★

　　因為任何人上網(wǎng)都是通過DNS服務器解析域名找到相應主機的，這種劫持用戶DNS服務器設置的攻擊行為，將會帶來嚴重風險。

　　比如：病毒可以將網(wǎng)上銀行的網(wǎng)站解析到一個精心設計的釣魚網(wǎng)站，從而輕易得到用戶的機密信息。估計類似的劫持行為，會被更多不懷好意的攻擊者利用。

　　該病毒的行為有：

　　1.關閉 Dnscache 服務；

　　修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　DhcpNameServer 和 NameServer

　　85.2*5.1*4.106,85.2*5.1*2.1*5

　　修改DNS服務器到白俄羅斯的域名解析服務器。

　　重新打開Dnscache服務。

　　毒霸反病毒工程師跟蹤該毒多個變種中包含的服務器地址后發(fā)現(xiàn)，此毒所指向的域名解析服務器主要位于俄羅斯、白俄羅斯、烏克蘭等地區(qū)，不過，這并不代表此毒就一定是這些地區(qū)黑客的作品，因為黑客們通常都是在全球各地租用服務器作案的。

　　2：檢查進程ieuser.exe，找到了就結束該進程

　　復制自身到%sys32dir%\kdxxx.exe的中，xxx為3位"a--z"的隨機小寫字母，同時復制explorer.exe到%sys32dir%下

　　3.添加注冊表啟動項：

　　Software\Microsoft\Windows NT\CurrentVersion\Winlogon system 指向病毒文件

　　Software\Microsoft\Windows\CurrentVersion run 指向病毒文件

　　運行msconfig可以看到病毒添加的啟動項

　　西伯利亞漁夫

　　如果系統(tǒng)是Vista，會添加一個服務啟動項： Windows Tribute Service

本新聞共2頁,當前在第1頁 1 2

【收藏】【打印】【進入論壇】

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费