金山反病毒中心將此病毒命名為“西伯利亞漁夫”(Win32.Troj.Agent.ib.69632) 威脅級別:★★
因為任何人上網(wǎng)都是通過DNS服務器解析域名找到相應主機的�,這種劫持用戶DNS服務器設置的攻擊行為����,將會帶來嚴重風險。
比如:病毒可以將網(wǎng)上銀行的網(wǎng)站解析到一個精心設計的釣魚網(wǎng)站�,從而輕易得到用戶的機密信息。估計類似的劫持行為���,會被更多不懷好意的攻擊者利用����。
該病毒的行為有:
1.關閉 Dnscache 服務;
修改HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
DhcpNameServer 和 NameServer
85.2*5.1*4.106,85.2*5.1*2.1*5
修改DNS服務器到白俄羅斯的域名解析服務器。
重新打開Dnscache服務����。
毒霸反病毒工程師跟蹤該毒多個變種中包含的服務器地址后發(fā)現(xiàn),此毒所指向的域名解析服務器主要位于俄羅斯����、白俄羅斯、烏克蘭等地區(qū)���,不過����,這并不代表此毒就一定是這些地區(qū)黑客的作品���,因為黑客們通常都是在全球各地租用服務器作案的��。
2.檢查進程ieuser.exe����,找到了就結(jié)束該進程�����。
復制自身到%sys32dir%kdxxx.exe的中,xxx為3位"a–z"的隨機小寫字母��,同時復制explorer.exe到%sys32dir%下�。
3.添加注冊表啟動項:
SoftwareMicrosoftWindows NTCurrentVersionWinlogon system 指向病毒文件
SoftwareMicrosoftWindowsCurrentVersion run 指向病毒文件
|
運行msconfig可以看到病毒添加的啟動項
如果系統(tǒng)是Vista,會添加一個服務啟動項: Windows Tribute Service��。
4.Hook下列函數(shù)���,隱藏病毒文件
NtSetValueKey
NtResumeThread
NtQueryDirectoryFile
NtDeleteValueKey
OpenProcess
DebugActiveProcess
|
5.將病毒代碼注入到其他的系統(tǒng)進程中執(zhí)行,
被注入代碼的���、進程的頭部+Ch處����,有"PE"的標記�����。
嘗試注入的進程有explorer.exe���、csrss.exe��、runonce.exe����、service.exe等等;
注入代碼包括循環(huán)添加注冊表啟動項,循環(huán)修改DNS服務器設置;
連接遠端地址64.*8.1*8.2*1����,執(zhí)行其他的黑客行為,盜取信息�,下載;
檢查到瀏覽器iexplorer.exe時,hook下列API:HttpSendRequestA����、RegisterBindStatusCallback、recv���。
檢查到瀏覽器firefox.exe的話�����,hook下列API:recv����。
6.結(jié)束自身進程
保留一個打開的句柄在csrss.exe中���,防止自身被刪除�。
病毒通過以上技術進行隱藏,通常資源管理器搜索���,是找不到病毒生成的kd*.exe文件的�。
解決方案:
1.使用金山系統(tǒng)急救箱���,完成掃描分析后���,一次重啟就可以解決
2.及時升級毒霸病毒庫防止受此病毒病毒騷擾
3.手工解決
使用冰刃的文件管理找到c:windowssystem32kd*.exe��,將其刪除���。注意:系統(tǒng)自帶的文件管理器是看不到這些隱藏的病毒文件的�����,即使修改文件夾選項為查看隱藏文件也無濟于事�����。
使用冰刃內(nèi)置的注冊表編輯器��,瀏覽到
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon system
HKLMSoftwareMicrosoftWindowsCurrentVersion run
|
刪除病毒添加的注冊表鍵����,再重啟電腦。
