當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

西伯利亞漁夫強(qiáng)改DNS設(shè)置及解決

http://www.yibo1263.com　2008-12-10 8:08:55 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

　　今天抓到一個(gè)典型的改寫DNS設(shè)置進(jìn)行欺詐的病毒，中毒后，本來(lái)是自動(dòng)獲取IP地址，自動(dòng)獲取DNS的設(shè)置被鎖定為指定的IP，并且該設(shè)置在清除病毒前不可修改。

　　西伯利亞漁夫

　　金山反病毒中心將此病毒命名為“西伯利亞漁夫”（Win32.Troj.Agent.ib.69632) 威脅級(jí)別：★★

　　因?yàn)槿魏稳松暇W(wǎng)都是通過(guò)DNS服務(wù)器解析域名找到相應(yīng)主機(jī)的，這種劫持用戶DNS服務(wù)器設(shè)置的攻擊行為，將會(huì)帶來(lái)嚴(yán)重風(fēng)險(xiǎn)。

　　比如：病毒可以將網(wǎng)上銀行的網(wǎng)站解析到一個(gè)精心設(shè)計(jì)的釣魚網(wǎng)站，從而輕易得到用戶的機(jī)密信息。估計(jì)類似的劫持行為，會(huì)被更多不懷好意的攻擊者利用。

　　該病毒的行為有：

　　1.關(guān)閉 Dnscache 服務(wù)；

　　修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　DhcpNameServer 和 NameServer

　　85.2*5.1*4.106,85.2*5.1*2.1*5

　　修改DNS服務(wù)器到白俄羅斯的域名解析服務(wù)器。

　　重新打開(kāi)Dnscache服務(wù)。

　　毒霸反病毒工程師跟蹤該毒多個(gè)變種中包含的服務(wù)器地址后發(fā)現(xiàn)，此毒所指向的域名解析服務(wù)器主要位于俄羅斯、白俄羅斯、烏克蘭等地區(qū)，不過(guò)，這并不代表此毒就一定是這些地區(qū)黑客的作品，因?yàn)楹诳蛡兺ǔ６际窃谌蚋鞯刈庥梅⻊?wù)器作案的。

　　2：檢查進(jìn)程ieuser.exe，找到了就結(jié)束該進(jìn)程

　　復(fù)制自身到%sys32dir%\kdxxx.exe的中，xxx為3位"a--z"的隨機(jī)小寫字母，同時(shí)復(fù)制explorer.exe到%sys32dir%下

　　3.添加注冊(cè)表啟動(dòng)項(xiàng)：

　　Software\Microsoft\Windows NT\CurrentVersion\Winlogon system 指向病毒文件

　　Software\Microsoft\Windows\CurrentVersion run 指向病毒文件

　　運(yùn)行msconfig可以看到病毒添加的啟動(dòng)項(xiàng)

　　西伯利亞漁夫

　　如果系統(tǒng)是Vista，會(huì)添加一個(gè)服務(wù)啟動(dòng)項(xiàng)： Windows Tribute Service

本新聞共2頁(yè),當(dāng)前在第1頁(yè) 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费