金山反病毒中心將此病毒命名為“西伯利亞漁夫”(Win32.Troj.Agent.ib.69632) 威脅級(jí)別:★★
因?yàn)槿魏稳松暇W(wǎng)都是通過(guò)DNS服務(wù)器解析域名找到相應(yīng)主機(jī)的���,這種劫持用戶DNS服務(wù)器設(shè)置的攻擊行為,將會(huì)帶來(lái)嚴(yán)重風(fēng)險(xiǎn)���。
比如:病毒可以將網(wǎng)上銀行的網(wǎng)站解析到一個(gè)精心設(shè)計(jì)的釣魚(yú)網(wǎng)站����,從而輕易得到用戶的機(jī)密信息。估計(jì)類似的劫持行為����,會(huì)被更多不懷好意的攻擊者利用。
該病毒的行為有:
1.關(guān)閉 Dnscache 服務(wù);
修改HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
DhcpNameServer 和 NameServer
85.2*5.1*4.106,85.2*5.1*2.1*5
修改DNS服務(wù)器到白俄羅斯的域名解析服務(wù)器�。
重新打開(kāi)Dnscache服務(wù)。
毒霸反病毒工程師跟蹤該毒多個(gè)變種中包含的服務(wù)器地址后發(fā)現(xiàn)����,此毒所指向的域名解析服務(wù)器主要位于俄羅斯、白俄羅斯����、烏克蘭等地區(qū),不過(guò)���,這并不代表此毒就一定是這些地區(qū)黑客的作品,因?yàn)楹诳蛡兺ǔ6际窃谌蚋鞯刈庥梅?wù)器作案的���。
2.檢查進(jìn)程ieuser.exe��,找到了就結(jié)束該進(jìn)程�。
復(fù)制自身到%sys32dir%kdxxx.exe的中�,xxx為3位"a–z"的隨機(jī)小寫(xiě)字母,同時(shí)復(fù)制explorer.exe到%sys32dir%下�。
3.添加注冊(cè)表啟動(dòng)項(xiàng):
SoftwareMicrosoftWindows NTCurrentVersionWinlogon system 指向病毒文件
SoftwareMicrosoftWindowsCurrentVersion run 指向病毒文件
|
運(yùn)行msconfig可以看到病毒添加的啟動(dòng)項(xiàng)
如果系統(tǒng)是Vista,會(huì)添加一個(gè)服務(wù)啟動(dòng)項(xiàng): Windows Tribute Service�����。
4.Hook下列函數(shù)�����,隱藏病毒文件
NtSetValueKey
NtResumeThread
NtQueryDirectoryFile
NtDeleteValueKey
OpenProcess
DebugActiveProcess
|
5.將病毒代碼注入到其他的系統(tǒng)進(jìn)程中執(zhí)行��,
被注入代碼的����、進(jìn)程的頭部+Ch處,有"PE"的標(biāo)記���。
嘗試注入的進(jìn)程有explorer.exe��、csrss.exe��、runonce.exe��、service.exe等等;
注入代碼包括循環(huán)添加注冊(cè)表啟動(dòng)項(xiàng)�����,循環(huán)修改DNS服務(wù)器設(shè)置;
連接遠(yuǎn)端地址64.*8.1*8.2*1�,執(zhí)行其他的黑客行為,盜取信息��,下載;
檢查到瀏覽器iexplorer.exe時(shí)����,hook下列API:HttpSendRequestA、RegisterBindStatusCallback�、recv。
檢查到瀏覽器firefox.exe的話�,hook下列API:recv。
6.結(jié)束自身進(jìn)程
保留一個(gè)打開(kāi)的句柄在csrss.exe中�,防止自身被刪除。
病毒通過(guò)以上技術(shù)進(jìn)行隱藏����,通常資源管理器搜索,是找不到病毒生成的kd*.exe文件的�。
解決方案:
1.使用金山系統(tǒng)急救箱��,完成掃描分析后���,一次重啟就可以解決
2.及時(shí)升級(jí)毒霸病毒庫(kù)防止受此病毒病毒騷擾
3.手工解決
使用冰刃的文件管理找到c:windowssystem32kd*.exe,將其刪除���。注意:系統(tǒng)自帶的文件管理器是看不到這些隱藏的病毒文件的,即使修改文件夾選項(xiàng)為查看隱藏文件也無(wú)濟(jì)于事����。
使用冰刃內(nèi)置的注冊(cè)表編輯器,瀏覽到
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon system
HKLMSoftwareMicrosoftWindowsCurrentVersion run
|
刪除病毒添加的注冊(cè)表鍵���,再重啟電腦�。
