IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁網(wǎng)絡(luò)安全病毒防治 → 警惕黑客利用病毒強(qiáng)行修改你的DNS設(shè)置

警惕黑客利用病毒強(qiáng)行修改你的DNS設(shè)置

時(shí)間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評(píng)論(7)

今天抓到一個(gè)典型的改寫DNS設(shè)置進(jìn)行欺詐的病毒,中毒后,本來是自動(dòng)獲取IP地址,自動(dòng)獲取DNS的設(shè)置被鎖定為指定的IP,并且該設(shè)置在清除病毒前不可修改。

金山反病毒中心將此病毒命名為"西伯利亞漁夫"(Win32.Troj.Agent.ib.69632) 威脅級(jí)別:★★

因?yàn)槿魏稳松暇W(wǎng)都是通過DNS服務(wù)器解析域名找到相應(yīng)主機(jī)的,這種劫持用戶DNS服務(wù)器設(shè)置的攻擊行為,將會(huì)帶來嚴(yán)重風(fēng)險(xiǎn)。

比如:病毒可以將網(wǎng)上銀行的網(wǎng)站解析到一個(gè)精心設(shè)計(jì)的釣魚網(wǎng)站,從而輕易得到用戶的機(jī)密信息。估計(jì)類似的劫持行為,會(huì)被更多不懷好意的攻擊者利用。

該病毒的行為有:

1.關(guān)閉 Dnscache 服務(wù);

修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

DhcpNameServer 和 NameServer

85.2*5.1*4.106,85.2*5.1*2.1*5

修改DNS服務(wù)器到白俄羅斯的域名解析服務(wù)器。

重新打開Dnscache服務(wù)。

毒霸反病毒工程師跟蹤該毒多個(gè)變種中包含的服務(wù)器地址后發(fā)現(xiàn),此毒所指向的域名解析服務(wù)器主要位于俄羅斯、白俄羅斯、烏克蘭等地區(qū),不過,這并不代表此毒就一定是這些地區(qū)黑客的作品,因?yàn)楹诳蛡兺ǔ6际窃谌蚋鞯刈庥梅?wù)器作案的。

2.檢查進(jìn)程ieuser.exe,找到了就結(jié)束該進(jìn)程。

復(fù)制自身到%sys32dir%\kdxxx.exe的中,xxx為3位"a--z"的隨機(jī)小寫字母,同時(shí)復(fù)制explorer.exe到%sys32dir%下。

3.添加注冊(cè)表啟動(dòng)項(xiàng):

Software\Microsoft\Windows NT\CurrentVersion\Winlogon system 指向病毒文件
Software\Microsoft\Windows\CurrentVersion run 指向病毒文件

運(yùn)行msconfig可以看到病毒添加的啟動(dòng)項(xiàng)

如果系統(tǒng)是Vista,會(huì)添加一個(gè)服務(wù)啟動(dòng)項(xiàng): Windows Tribute Service。

4.Hook下列函數(shù),隱藏病毒文件

NtSetValueKey
NtResumeThread
NtQueryDirectoryFile
NtDeleteValueKey
OpenProcess
DebugActiveProcess

5.將病毒代碼注入到其他的系統(tǒng)進(jìn)程中執(zhí)行,

被注入代碼的、進(jìn)程的頭部+Ch處,有"PE"的標(biāo)記。

嘗試注入的進(jìn)程有explorer.exe、csrss.exe、runonce.exe、service.exe等等;

注入代碼包括循環(huán)添加注冊(cè)表啟動(dòng)項(xiàng),循環(huán)修改DNS服務(wù)器設(shè)置;

連接遠(yuǎn)端地址64.*8.1*8.2*1,執(zhí)行其他的黑客行為,盜取信息,下載;

檢查到瀏覽器iexplorer.exe時(shí),hook下列API:HttpSendRequestA、RegisterBindStatusCallback、recv。

檢查到瀏覽器firefox.exe的話,hook下列API:recv。

6.結(jié)束自身進(jìn)程

保留一個(gè)打開的句柄在csrss.exe中,防止自身被刪除。

病毒通過以上技術(shù)進(jìn)行隱藏,通常資源管理器搜索,是找不到病毒生成的kd*.exe文件的。

解決方案:

1.使用金山系統(tǒng)急救箱,完成掃描分析后,一次重啟就可以解決

2.及時(shí)升級(jí)毒霸病毒庫防止受此病毒病毒騷擾

3.手工解決

使用冰刃的文件管理找到c:\windows\system32\kd*.exe,將其刪除。注意:系統(tǒng)自帶的文件管理器是看不到這些隱藏的病毒文件的,即使修改文件夾選項(xiàng)為查看隱藏文件也無濟(jì)于事。

使用冰刃內(nèi)置的注冊(cè)表編輯器,瀏覽到

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon system
HKLM\Software\Microsoft\Windows\CurrentVersion run
刪除病毒添加的注冊(cè)表鍵,再重啟電腦。

關(guān)鍵詞標(biāo)簽:黑客,病毒,DNS設(shè)置

相關(guān)閱讀

文章評(píng)論
發(fā)表評(píng)論

熱門文章 發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除 發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除 殺毒36計(jì)之手動(dòng)清除PcShare木馬_PcShare木馬清除方法 殺毒36計(jì)之手動(dòng)清除PcShare木馬_PcShare木馬清除方法 注冊(cè)表被修改的原因及解決辦法 注冊(cè)表被修改的原因及解決辦法 卡巴斯基2017/2016破解版_kaspersky卡巴斯基2015/2014/2013/2012/2011/2010激活碼/授權(quán)許可文件Key 卡巴斯基2017/2016破解版_kaspersky卡巴斯基2015/2014/2013/2012/2011/2010激活碼/授權(quán)許可文件Key

相關(guān)下載

    人氣排行 卡巴斯基2017激活教程_卡巴斯基2017用授權(quán)文件KEY激活的方法(完美激活) 解決alexa.exe自動(dòng)彈出網(wǎng)頁病毒 卡巴斯基2017破解版_Kaspersky卡巴斯基2017激活碼/授權(quán)許可文件Key comine.exe 病毒清除方法 ekrn.exe占用CPU 100%的解決方案 木馬下載者Trojan-Downloader.Win32.FakeFolder.c手工清除解決方案 發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除 一招搞定幾萬種木馬----→ 注冊(cè)表權(quán)限設(shè)置