IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁網(wǎng)絡(luò)安全病毒防治 → 警惕黑客利用病毒強行修改你的DNS設(shè)置

警惕黑客利用病毒強行修改你的DNS設(shè)置

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(7)

今天抓到一個典型的改寫DNS設(shè)置進行欺詐的病毒,中毒后,本來是自動獲取IP地址,自動獲取DNS的設(shè)置被鎖定為指定的IP,并且該設(shè)置在清除病毒前不可修改。

金山反病毒中心將此病毒命名為"西伯利亞漁夫"(Win32.Troj.Agent.ib.69632) 威脅級別:★★

因為任何人上網(wǎng)都是通過DNS服務(wù)器解析域名找到相應(yīng)主機的,這種劫持用戶DNS服務(wù)器設(shè)置的攻擊行為,將會帶來嚴重風(fēng)險。

比如:病毒可以將網(wǎng)上銀行的網(wǎng)站解析到一個精心設(shè)計的釣魚網(wǎng)站,從而輕易得到用戶的機密信息。估計類似的劫持行為,會被更多不懷好意的攻擊者利用。

該病毒的行為有:

1.關(guān)閉 Dnscache 服務(wù);

修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

DhcpNameServer 和 NameServer

85.2*5.1*4.106,85.2*5.1*2.1*5

修改DNS服務(wù)器到白俄羅斯的域名解析服務(wù)器。

重新打開Dnscache服務(wù)。

毒霸反病毒工程師跟蹤該毒多個變種中包含的服務(wù)器地址后發(fā)現(xiàn),此毒所指向的域名解析服務(wù)器主要位于俄羅斯、白俄羅斯、烏克蘭等地區(qū),不過,這并不代表此毒就一定是這些地區(qū)黑客的作品,因為黑客們通常都是在全球各地租用服務(wù)器作案的。

2.檢查進程ieuser.exe,找到了就結(jié)束該進程。

復(fù)制自身到%sys32dir%\kdxxx.exe的中,xxx為3位"a--z"的隨機小寫字母,同時復(fù)制explorer.exe到%sys32dir%下。

3.添加注冊表啟動項:

Software\Microsoft\Windows NT\CurrentVersion\Winlogon system 指向病毒文件
Software\Microsoft\Windows\CurrentVersion run 指向病毒文件

運行msconfig可以看到病毒添加的啟動項

如果系統(tǒng)是Vista,會添加一個服務(wù)啟動項: Windows Tribute Service。

4.Hook下列函數(shù),隱藏病毒文件

NtSetValueKey
NtResumeThread
NtQueryDirectoryFile
NtDeleteValueKey
OpenProcess
DebugActiveProcess

5.將病毒代碼注入到其他的系統(tǒng)進程中執(zhí)行,

被注入代碼的、進程的頭部+Ch處,有"PE"的標(biāo)記。

嘗試注入的進程有explorer.exe、csrss.exe、runonce.exe、service.exe等等;

注入代碼包括循環(huán)添加注冊表啟動項,循環(huán)修改DNS服務(wù)器設(shè)置;

連接遠端地址64.*8.1*8.2*1,執(zhí)行其他的黑客行為,盜取信息,下載;

檢查到瀏覽器iexplorer.exe時,hook下列API:HttpSendRequestA、RegisterBindStatusCallback、recv。

檢查到瀏覽器firefox.exe的話,hook下列API:recv。

6.結(jié)束自身進程

保留一個打開的句柄在csrss.exe中,防止自身被刪除。

病毒通過以上技術(shù)進行隱藏,通常資源管理器搜索,是找不到病毒生成的kd*.exe文件的。

解決方案:

1.使用金山系統(tǒng)急救箱,完成掃描分析后,一次重啟就可以解決

2.及時升級毒霸病毒庫防止受此病毒病毒騷擾

3.手工解決

使用冰刃的文件管理找到c:\windows\system32\kd*.exe,將其刪除。注意:系統(tǒng)自帶的文件管理器是看不到這些隱藏的病毒文件的,即使修改文件夾選項為查看隱藏文件也無濟于事。

使用冰刃內(nèi)置的注冊表編輯器,瀏覽到

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon system
HKLM\Software\Microsoft\Windows\CurrentVersion run
刪除病毒添加的注冊表鍵,再重啟電腦。

關(guān)鍵詞標(biāo)簽:黑客,病毒,DNS設(shè)置

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除 發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除 殺毒36計之手動清除PcShare木馬_PcShare木馬清除方法 殺毒36計之手動清除PcShare木馬_PcShare木馬清除方法 注冊表被修改的原因及解決辦法 注冊表被修改的原因及解決辦法 卡巴斯基2017/2016破解版_kaspersky卡巴斯基2015/2014/2013/2012/2011/2010激活碼/授權(quán)許可文件Key 卡巴斯基2017/2016破解版_kaspersky卡巴斯基2015/2014/2013/2012/2011/2010激活碼/授權(quán)許可文件Key

相關(guān)下載

    人氣排行 卡巴斯基2017激活教程_卡巴斯基2017用授權(quán)文件KEY激活的方法(完美激活) 解決alexa.exe自動彈出網(wǎng)頁病毒 卡巴斯基2017破解版_Kaspersky卡巴斯基2017激活碼/授權(quán)許可文件Key comine.exe 病毒清除方法 ekrn.exe占用CPU 100%的解決方案 木馬下載者Trojan-Downloader.Win32.FakeFolder.c手工清除解決方案 發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除 一招搞定幾萬種木馬----→ 注冊表權(quán)限設(shè)置