故障现象:

一台单机(PC1)通过RouterOS做的软路由接入互联网,RouterOS上启用DNS服务转发,并定义了几个本地静态DNS解析,但某日突然发现PC1对这几个静态DNS的解析均出现了错误和故障,而其他机器PCn则工作正常,检查RouterOS配置正常,PC1上的IPConfig检查正常。

分析:

使用Wireshark在PC1上抓取所有dns包分析发现,PC1把DNS解析请求发送到一个没见过的地址(85.255.114.83),这个地址我从来没有配置和使用过。

怀疑病毒或者某种DNS劫持… 尝试病毒木马检测..搜索类似情况..无果

进一步分析DNS….

nslookup –d [其他的参数] 目标域名 [指定的服务器地址]

RouterOS对nslookup好像不能正常支持,虽然ping可以解析,但是nslookup有时返回

DNS request timed out.

timeout was 2 seconds.

*** Request to UnKnown timed-out

原因未知…放弃nslookup

继续搜索查找分析…

网上有信息指出85.255.112.0 – 85.255.127.255这段IP是病毒和垃圾信息发布的主机集中地,建议采取措施屏蔽

发现360无法下载更新,基本可以确定是病毒或者木马

PC1安装的是ESET SC 3.0.669(NOD32) + 360安全卫士 均为检测到异常

继续搜索查找分析…

接近结果了,初步定位为:Zlob.DNS Changer 病毒

资料:http://www.exterminate-it.com/malpedia/remove-zlob-dns-changer

资料:http://duller.kukuchew.com/archives/3850

一个比较粗糙的测试你是否感染了这个病毒的方法是: windows: 开始 > 运行 > 输入C:\resycled 如果能够找到并打开这个文件夹,基本上可以确定你已经中招了。

尝试清除病毒…

> AVG Anti-Spyware 7.5 检测不到

> Exterminate It! 可以检测到,但是免费版不能清除

> Remove Zlob DNSChanger http://www.antispyware.com/glossary_details.php?ID=133585

这个实际上是 Antispyware ,检测不到 ,但是检测出了一堆其它的问题,怀疑有误报,而且把 c:\Program Files\tencent整个目录都报错,还有个QQPass,不会是真的有问题,汗!!回头再查这个

再汗,这个Antispyware 居然被Exterminate It! 报为ADware

最终解决

手动删除,使用其它启动方式进入Dos或者Windows PE操作系统,

1 删除以下2个文件,这个关键步骤,这2个文件再感染系统中通过任何方式都看不到,删除不了,只能使用其它独立系统删除

%systemroot%/system32/msqpdxeqmrnddg.dll

%systemroot%/system32/Drivers/msqpdxobkinfee.sys

2 删除相关注册表,及其它文件,具体可以参考 Exterminate It! 的检测结果和上述资料,我怀疑这个病毒再不同机器上的感染路径是有变化的,以下我的结果,仅供参考:

这个病毒比较接近这个名称( Zlob.DNS Changer ),特点是

A)感染系统后留下的痕迹很少,仅仅在驱动级对DNS进行了劫持,而且这个劫持在系统任何地方都看不出来(IPConfig 显示信息正常),不影响系统正常使用,如果不是我的本地静态域名解析出现问题,如果我没用抓包分析,根本不会发现有问题

B)反查能力很强,大量杀毒软件和工具不能检测到它,可能是刚出现的新变种吧

BTW:我怀疑这个病毒可能是我从一个国外的破解网站下载软件后感染,穷啊,有钱就不用找破解了….

(102)

 分类: 应用

2 条评论

黄德峻 · 2008/12/30 9:08 下午

这个病毒很难清除,到现在我还被它影响到,在google的搜寻结果都被redirect去其它不相干的网站。我也是找破解的时候中的。

emeric · 2008/12/30 10:07 下午

使用光盘启动PE,删除相关文件后,抓包分析发现DNS解析已经正常了,暂时未发现其它异常

发表评论

电子邮件地址不会被公开。