简单生活@NET

故障现象：

一台单机（PC1）通过RouterOS做的软路由接入互联网，RouterOS上启用DNS服务转发,并定义了几个本地静态DNS解析，但某日突然发现PC1对这几个静态DNS的解析均出现了错误和故障，而其他机器PCn则工作正常，检查RouterOS配置正常,PC1上的IPConfig检查正常。

分析：

使用Wireshark在PC1上抓取所有dns包分析发现，PC1把DNS解析请求发送到一个没见过的地址(85.255.114.83)，这个地址我从来没有配置和使用过。

怀疑病毒或者某种DNS劫持… 尝试病毒木马检测..搜索类似情况..无果

进一步分析DNS….

nslookup –d [其他的参数] 目标域名 [指定的服务器地址]

RouterOS对nslookup好像不能正常支持，虽然ping可以解析，但是nslookup有时返回

DNS request timed out.

timeout was 2 seconds.

*** Request to UnKnown timed-out

原因未知…放弃nslookup

继续搜索查找分析…

网上有信息指出85.255.112.0 – 85.255.127.255这段IP是病毒和垃圾信息发布的主机集中地，建议采取措施屏蔽

发现360无法下载更新，基本可以确定是病毒或者木马

PC1安装的是ESET SC 3.0.669(NOD32) + 360安全卫士 均为检测到异常

继续搜索查找分析…

接近结果了，初步定位为：Zlob.DNS Changer 病毒

资料：http://www.exterminate-it.com/malpedia/remove-zlob-dns-changer

资料：http://duller.kukuchew.com/archives/3850

一个比较粗糙的测试你是否感染了这个病毒的方法是： windows: 开始 > 运行 > 输入C:\resycled 如果能够找到并打开这个文件夹，基本上可以确定你已经中招了。

尝试清除病毒…

> AVG Anti-Spyware 7.5 检测不到

> Exterminate It! 可以检测到，但是免费版不能清除

> Remove Zlob DNSChanger http://www.antispyware.com/glossary_details.php?ID=133585

这个实际上是 Antispyware ,检测不到 ，但是检测出了一堆其它的问题，怀疑有误报，而且把 c:\Program Files\tencent整个目录都报错，还有个QQPass,不会是真的有问题，汗！！回头再查这个

再汗，这个Antispyware 居然被Exterminate It! 报为ADware

最终解决

手动删除，使用其它启动方式进入Dos或者Windows PE操作系统，

1 删除以下2个文件，这个关键步骤，这2个文件再感染系统中通过任何方式都看不到，删除不了，只能使用其它独立系统删除

%systemroot%/system32/msqpdxeqmrnddg.dll

%systemroot%/system32/Drivers/msqpdxobkinfee.sys

2 删除相关注册表，及其它文件，具体可以参考 Exterminate It! 的检测结果和上述资料，我怀疑这个病毒再不同机器上的感染路径是有变化的，以下我的结果，仅供参考：

这个病毒比较接近这个名称（ Zlob.DNS Changer ），特点是

A）感染系统后留下的痕迹很少，仅仅在驱动级对DNS进行了劫持，而且这个劫持在系统任何地方都看不出来(IPConfig 显示信息正常)，不影响系统正常使用，如果不是我的本地静态域名解析出现问题，如果我没用抓包分析，根本不会发现有问题

B）反查能力很强，大量杀毒软件和工具不能检测到它，可能是刚出现的新变种吧

BTW：我怀疑这个病毒可能是我从一个国外的破解网站下载软件后感染，穷啊，有钱就不用找破解了….

IT前沿, 简单生活 dns, 劫持, 木马, 病毒