當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

西伯利亞漁夫強改DNS設(shè)置及解決

http://m.yibo1263.com　2008-12-10 8:08:55 　來源:東北IT網(wǎng) 　編輯:葉子

　　今天抓到一個典型的改寫DNS設(shè)置進行欺詐的病毒，中毒后，本來是自動獲取IP地址，自動獲取DNS的設(shè)置被鎖定為指定的IP，并且該設(shè)置在清除病毒前不可修改。

　　西伯利亞漁夫

　　金山反病毒中心將此病毒命名為“西伯利亞漁夫”（Win32.Troj.Agent.ib.69632) 威脅級別：★★

　　因為任何人上網(wǎng)都是通過DNS服務(wù)器解析域名找到相應(yīng)主機的，這種劫持用戶DNS服務(wù)器設(shè)置的攻擊行為，將會帶來嚴(yán)重風(fēng)險。

　　比如：病毒可以將網(wǎng)上銀行的網(wǎng)站解析到一個精心設(shè)計的釣魚網(wǎng)站，從而輕易得到用戶的機密信息。估計類似的劫持行為，會被更多不懷好意的攻擊者利用。

　　該病毒的行為有：

　　1.關(guān)閉 Dnscache 服務(wù)；

　　修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　DhcpNameServer 和 NameServer

　　85.2*5.1*4.106,85.2*5.1*2.1*5

　　修改DNS服務(wù)器到白俄羅斯的域名解析服務(wù)器。

　　重新打開Dnscache服務(wù)。

　　毒霸反病毒工程師跟蹤該毒多個變種中包含的服務(wù)器地址后發(fā)現(xiàn)，此毒所指向的域名解析服務(wù)器主要位于俄羅斯、白俄羅斯、烏克蘭等地區(qū)，不過，這并不代表此毒就一定是這些地區(qū)黑客的作品，因為黑客們通常都是在全球各地租用服務(wù)器作案的。

　　2：檢查進程ieuser.exe，找到了就結(jié)束該進程

　　復(fù)制自身到%sys32dir%\kdxxx.exe的中，xxx為3位"a--z"的隨機小寫字母，同時復(fù)制explorer.exe到%sys32dir%下

　　3.添加注冊表啟動項：

　　Software\Microsoft\Windows NT\CurrentVersion\Winlogon system 指向病毒文件

　　Software\Microsoft\Windows\CurrentVersion run 指向病毒文件

　　運行msconfig可以看到病毒添加的啟動項

　　西伯利亞漁夫

　　如果系統(tǒng)是Vista，會添加一個服務(wù)啟動項： Windows Tribute Service

本新聞共2頁,當(dāng)前在第1頁 1 2

【收藏】【打印】【進入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费