作者 主題: 木馬:Zlob DNS Changer  (閱讀 20499 次)

0 會員 與 1 訪客 正在閱讀本文。

harrier

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 1856
  • 性別: 男
    • 檢視個人資料
    • 國屬武裝兵
木馬:Zlob DNS Changer
« 於: 2008-11-20 15:24 »
12 日家中電腦中了這隻木馬,13 日發現,奮戰一晝夜才清除。

這隻木馬的行為:
1.在每個存取過的可寫入媒體中新增目錄 resycled;
2.在 resycled 目錄中新增檔案 boot.com;
3.在每個上述媒體的根目錄中,新增 autorun.inf,內容就是執行 boot.com;
4.在 Windows 系統目錄下產生檔案 kd???.exe(???亂數產生) 和 kd??(??亂數產生);
5.在機碼中自動執行 kd???.exe(???亂數產生) 和 kd??(??亂數產生);
6.修改 NameServer 和 DhcpNameServer,指向位於 烏克蘭 境內的惡意 DNS Server;

一開始防 spyware 的 TreatFire 有發現也有 deny 掉 2 個 internet 的 temp files,不過還是中標,
進入 Windows Server 2K3 安全模式,在只有 Command Prompt (桌面 explorer 還沒開啟) 下可以刪掉
上述所有實體檔案和目錄,但機碼怎咪刪都會長回來..包括 DNS 的設定。

安全模式下 ClamWin 掃不到任何病毒,正常開機下 PCTools AntiVirus 掃不到病毒(現在有些防毒在安全模式
下無法使用..),線上號稱可以掃毒掃間諜軟體的 趨勢 和 卡巴,也都掃不到任何東西。

最後是靠著免費的 Spybot S&D 幹掉這隻木馬。

不知道 Windows 有沒有光碟開機掃木馬掃病毒的..否則遇到頑強一點的東西,Windows 就麻煩了...
因為它安全模式還是 load 了不少東西進去,可能包括惡意程式。
...90Net(90:1200/1203),GameNET(99:700/707),ALLNet(92:9200/3111),InfoNet(30:100/103)..MaximusCBCS(浮懷),AirNet,TenderNet,StormNet,FidoNet...
<<- www.nas.vg ->>

Daniels222

  • 懷疑的國中生
  • **
  • 文章數: 39
    • 檢視個人資料
回覆: 木馬:Zlob DNS Changer
« 回覆 #1 於: 2008-11-25 11:55 »
我也是產生相同的問題dns就被綁架一樣
怎麼改都改不回來~都出現85.xxx.xx.xx的ip
怎麼才能解決這樣的問題

darkranger

  • 榮譽學長
  • 俺是博士!
  • *****
  • 文章數: 1370
    • 檢視個人資料
    • http://darkranger.no-ip.org
回覆: 木馬:Zlob DNS Changer
« 回覆 #2 於: 2008-11-25 21:11 »
不知道 Windows 有沒有光碟開機掃木馬掃病毒的..否則遇到頑強一點的東西,Windows 就麻煩了...
因為它安全模式還是 load 了不少東西進去,可能包括惡意程式。
掃檔案的話,客製一片 live CD 把掃毒軟體塞進去是個辦法
掃登錄檔的話我就沒想出來了,因為目前已知的安全軟體....呃....要怎麼形容比較好呢?
姑且稱之為:不具有「離線處理」的能力(因為都是呼叫 Windows API 的緣故吧)

harrier

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 1856
  • 性別: 男
    • 檢視個人資料
    • 國屬武裝兵
回覆: 木馬:Zlob DNS Changer
« 回覆 #3 於: 2008-11-27 15:25 »
我也是產生相同的問題dns就被綁架一樣
怎麼改都改不回來~都出現85.xxx.xx.xx的ip
怎麼才能解決這樣的問題

抓 Spybot S&D 安裝好開始掃,重開機完再來一次,大概就解了。
記得最後自己手動進去檢查一次機碼,找關鍵字。
...90Net(90:1200/1203),GameNET(99:700/707),ALLNet(92:9200/3111),InfoNet(30:100/103)..MaximusCBCS(浮懷),AirNet,TenderNet,StormNet,FidoNet...
<<- www.nas.vg ->>

harrier

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 1856
  • 性別: 男
    • 檢視個人資料
    • 國屬武裝兵
回覆: 木馬:Zlob DNS Changer
« 回覆 #4 於: 2008-12-21 17:37 »
又中了隻木馬..果然現在 Windows 危機重重啊~ XDDD

從網路上下載一個程式要安裝,用 S&D 掃瞄過無異狀,一執行發現名稱好像有異,中止安裝,不過木馬已經啟動了~

一如往常,ThreatFire、PCToolsAV、PCToolsFW 都沒擋住這隻木馬,就在中止安裝後幾分鐘,PCToolsFW 跳出
有程式嘗試連線網路,被我選擇阻斷該連線後,不一會兒,PCToolsFW 服務居然被 shutdown,每個可寫入碟又開始
出現目錄 resycled、檔案 autorun.inf...   ~:Q

由於這次多了 S&D 防護,基本上木馬沒在機碼中亂竄,S&D 抓到這隻稱為 Win32.Agent.sd(變種應該很多,網路上查到的特性描述很多和我中的這隻不同),它會造成下列現象(因為木馬部分入侵過程已被阻斷,所以下列描述可能只是部分特性):

1.把知名防毒軟體的更新站台統統指向 127.0.0.1,讓用戶無法更新病毒碼,包括 ClamAV、PCToolsAV/FW;
2.它沒有修改 hosts;
3.它會安裝 Rootkit.NDisProt/Fake;

這次靠著兩個工具軟體消滅這隻木馬,順便也找出上次 Zlob 偷裝還沒清乾淨的 Rootkit.Cloaked/Service-GEN(上次一直纳悶它是憑什麼長惡意機碼出來)~當然,由於是個人使用,我習慣用免費版本,所以只有掃/解功能,沒有即時防護:

1.Dr.Web CureIt!
2.SUPERAntiSpyware

尤其 1. 是綠色軟體,單一程式/一體成形,沒有任何 reg or ini,木馬 pattern 內建(每日整隻程式更新),Windows 安全模式下可執行,非常適合第一時間緊急處理使用(使用時只會跳出一個固定的廣告 banner)。

用 1. 幹掉實體檔案,用 2. 清理惡意機碼,用 S&D 平時常駐避免惡意機碼四處亂竄~
...90Net(90:1200/1203),GameNET(99:700/707),ALLNet(92:9200/3111),InfoNet(30:100/103)..MaximusCBCS(浮懷),AirNet,TenderNet,StormNet,FidoNet...
<<- www.nas.vg ->>