專家談：警惕病毒強行修改你的 DNS設置

【賽迪網-IT技術報道】今天抓到一個典型的改寫DNS設置進行欺詐的病毒，中毒後，本來是自動獲取IP地址，自動獲取DNS的設置被鎖定為指定的IP，並且該設置在清除病毒前不可修改。

金山反病毒中心將此病毒命名為「西伯利亞漁夫」（Win32.Troj.Agent.ib.69632) 威脅級別：★★

因為任何人上網都是通過DNS伺服器解析域名找到相應主機的，這種劫持用戶DNS伺服器設置的攻擊行為，將會帶來嚴重風險。

比如：病毒可以將網上銀行的網站解析到一個精心設計的釣魚網站，從而輕易得到用戶的機密信息。估計類似的劫持行為，會被更多不懷好意的攻擊者利用。

該病毒的行為有：

1.關閉 Dnscache 服務；

修改HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters

DhcpNameServer 和 NameServer

85.2*5.1*4.106,85.2*5.1*2.1*5

修改DNS伺服器到白俄羅斯的域名解析伺服器。

重新打開Dnscache服務。

毒霸反病毒工程師跟蹤該毒多個變種中包含的伺服器地址後發現，此毒所指向的域名解析伺服器主要位於俄羅斯、白俄羅斯、烏克蘭等地區，不過，這並不代表此毒就一定是這些地區黑客的作品，因為黑客們通常都是在全球各地租用伺服器作案的。

2.檢查進程ieuser.exe，找到了就結束該進程。

複製自身到%sys32dir%/kdxxx.exe的中，xxx為3位"a--z"的隨機小寫字母，同時複製explorer.exe到%sys32dir%下。

3.添加註冊表啟動項：

Software/Microsoft/Windows NT/CurrentVersion/Winlogon system 指向病毒文件Software/Microsoft/Windows/CurrentVersion run 指向病毒文件

如果系統是Vista，會添加一個服務啟動項： Windows Tribute Service。

4.Hook下列函數，隱藏病毒文件

NtSetValueKeyNtResumeThreadNtQueryDirectoryFileNtDeleteValueKeyOpenProcessDebugActiveProcess

5.將病毒代碼注入到其他的系統進程中執行，

被注入代碼的、進程的頭部+Ch處，有"PE"的標記。

嘗試注入的進程有explorer.exe、csrss.exe、runonce.exe、service.exe等等；

注入代碼包括循環添加註冊表啟動項，循環修改DNS伺服器設置；

連接遠端地址64.*8.1*8.2*1，執行其他的黑客行為，盜取信息，下載；

檢查到瀏覽器iexplorer.exe時，hook下列API：HttpSendRequestA、RegisterBindStatusCallback、recv。

檢查到瀏覽器firefox.exe的話，hook下列API：recv。

6.結束自身進程

保留一個打開的句柄在csrss.exe中，防止自身被刪除。

病毒通過以上技術進行隱藏，通常資源管理器搜索，是找不到病毒生成的kd*.exe文件的。

解決方案：

1.使用金山系統急救箱，完成掃瞄分析後，一次重啟就可以解決

2.及時升級毒霸病毒庫防止受此病毒病毒騷擾

3.手工解決

使用冰刃的文件管理找到c:/windows/system32/kd*.exe，將其刪除。注意：系統自帶的文件管理器是看不到這些隱藏的病毒文件的，即使修改文件夾選項為查看隱藏文件也無濟於事。

使用冰刃內置的註冊表編輯器，瀏覽到

HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon systemHKLM/Software/Microsoft/Windows/CurrentVersion run

(