超級巡警團隊監(jiān)測到惡意程序Trojan.Win32.DNSChanger.erp,該病毒運行后釋放文件修改dns設置,將一些正規(guī)網(wǎng)址解析成黑客構造的釣魚網(wǎng)址進行訪問,修改的dns服務器一般在國外。
一、病毒相關分析:
病毒標簽:
病毒名稱:Trojan.Win32.DNSChanger.erp
病毒類型:木馬下載者
危害級別:3
感染平臺:Windows
病毒大小:175,094字節(jié)
Md5 :992066EAE44F93D361B9B16F02F539D7
加殼類型:未知
開發(fā)工具:未知
病毒行為:
1、病毒運行以后釋放副本和其他病毒。
%temp%notepad.exe
%temp%calc.exe
%systemroot%kdxxx.exe(xxx為隨機的三位小寫字母)
2、添加注冊表。
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "kdxxx.exe" Type: REG_SZ Data: %systemroot%kdxxx.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon System Type: REG_SZ Data: kdxxx.exe
3、尋找并結束ieuser.exe進程
4、修改dns設置為“85.255.114.35,85.255.112.13”
5、注入csrss.exe,通過csrss.exe注入系統(tǒng)其他進程,注入代碼會進行一些病毒操作,如循環(huán)修改dns設置
二、解決方案
推薦方案:
安裝超級巡警進行全面病毒查殺。超級巡警用戶請升級到最新病毒庫,并進行全盤掃描。
超級巡警下載地址:http://www.sucop.com/2009/0214/4.html
手工清除方法:
1、刪除病毒添加的注冊表鍵值
刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "kdxxx.exe"
清空HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon System
2、重啟系統(tǒng)后刪除病毒生成的文件。
%SystemRoot%system32kdxxx.exe
3、控制面板-網(wǎng)絡連接-Internet(TCP/IP)屬性-修改dns設置為自動獲取或者手動輸入一個正常的dns服務器地址
三、安全建議
1、立即安裝或更新防病毒軟件并對內(nèi)存和硬盤全面掃描(推薦安裝超級巡警)。
共有條評論
