修改dns
超级巡警团队监测到恶意程序Trojan.Win32.DNSChanger.erp,该病毒运行后释放文件修改dns设置,将一些正规网址解析成黑客构造的钓鱼网址进行访问,修改的dns服务器一般在国外。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan.Win32.DNSChanger.erp
病毒类型:木马下载者
危害级别:3
感染平台:Windows
病毒大小:175,094字节
Md5 :992066EAE44F93D361B9B16F02F539D7
加壳类型:未知
开发工具:未知
病毒行为:
1、病毒运行以后释放副本和其他病毒。
%temp%\notepad.exe
%temp%\calc.exe
%systemroot%\kdxxx.exe(xxx为随机的三位小写字母)
2、添加注册表。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "kdxxx.exe" Type: REG_SZ Data: %systemroot%\kdxxx.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon System Type: REG_SZ Data: kdxxx.exe
3、寻找并结束ieuser.exe进程
4、修改dns设置为“85.255.114.35,85.255.112.13”
5、注入csrss.exe,通过csrss.exe注入系统其他进程,注入代码会进行一些病毒操作,如循环修改dns设置
二、解决方案
推荐方案:
安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://download.pchome.net/utility/antivirus/trojan/detail-33842.html
手工清除方法:
1、删除病毒添加的注册表键值
删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "kdxxx.exe"
清空HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon System
2、重启系统后删除病毒生成的文件。
%SystemRoot%\system32\kdxxx.exe
3、控制面板-网络连接-Internet(TCP/IP)属性-修改dns设置为自动获取或者手动输入一个正常的dns服务器地址
安全建议
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、禁用不必要的服务。
3、不要随便打开不明来历的电子邮件,尤其是邮件附件。
4、不要随意下载不安全网站的文件并运行。
5、下载和新拷贝的文件要首先进行查毒。
6、不要轻易打开即时通讯工具中发来的链接或可执行文件。
7、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。
注:
%System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%System,在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
网友评论