标题:
木马程序 Trojan.Win32.DNSChanger.sd
[打印本页]
作者:
pioneer
时间:
2007-8-18 18:20
标题:
木马程序 Trojan.Win32.DNSChanger.sd
病毒名称
Trojan.Win32.DNSChanger.sd
捕获时间
2007年8月16日
病毒症状
该木马程序运行后,在系统目录下生成一个由随机五位字母组成的字串命名的.exe文件(如:TKXOM.EXE);在注册表启动项Run下新建子项使病毒可以在开机时随系统自动运行;开启iexplorer和explorer并将自身注入到这两个进程中;通过修改注册表项来修改DNS的相关设置:HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中以及子项Interfaces下所有的{CLSID}中的NameServer和 DhcpNameServer的键值为“85.255.114.35,85.255.112.13”,接着利用命令行运行“ipconfig.exe /flushdns”,“ipconfig.exe /registerdns”,“ipconfig.exe /dnsflush”,“ipconfig.exe /renew”,“ipconfig.exe /renew_all”等命令对计算机中的DNS缓存进行更新。修改之后,计算机将可能被恶意的域名解析欺骗而连接上一些不安全的网站,下载病毒、木马等等。
感染对象
Windows 98/ Windows ME/Windows NT/ Windows 2000/ Windows XP
传播途径
网页挂马,文件捆绑
安全提示
已安装微点主动防御软件的用户,无论您是否已经升级到最新版本,微点主动防御都能够有效防御该木马程序。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知间谍”,请直接选择删除处理,(见图1);
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现“Trojan.Win32.DNSChanger.sd”,请直接选择删除(见图2);
使用其它杀毒软件的用户,请尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
没有安装微点主动防御软件的用户,建议您尽快安装使用微点主动防御软件查杀预防各类新病毒。
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn