西伯利亞漁夫為蒙古人種,最早出現在1750年,貝爾加湖北段。1876年,因沙皇俄國向遠東擴張,這群漁夫又被迫從由貝爾加湖北段南遷至蒙古北部的巴楞格河上游。1921年,蒙古人民共和國成立,這群漁夫因與當年大清帝國有關聯,則被驅逐出境,被流放到巴爾喀什湖附近。1991年,蘇聯解體,他們則成為了哈薩克斯坦國民。
基本介紹
- 中文名:西伯利亞漁夫
- 種:蒙古人
- 最早出現:1750年
- 最早出現地點:貝爾加湖北段
西伯利亞漁夫病毒,病毒行為:,
西伯利亞漁夫病毒
西伯利亞漁夫病毒Win32.Troj.Agent.ib.69632
病毒名稱(中文):西伯利亞漁夫
病毒別名:
威脅級別:★★☆☆☆
病毒類型:木馬程式
病毒長度:69632
影響系統:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行為:
這是一個專門劫持瀏覽器的木馬。它通過修改用戶的DNS設定,使用戶在瀏覽正常網站時,被指引到病毒作者指定的釣魚網站。病毒作者採用一系列複雜的加密手法,試圖干擾安全軟體的正常查殺。
這個病毒,修改用戶DNS設定,使用戶正常網站連結被定位到病毒設定的釣魚網站
這個病毒經過變形處理,解密前的導出表是兩個隨機名,運行後會解密真正的導出表函式與代碼。
調用導出表函式_mp@4:
1:打開當前令牌,獲取TokenPrivileges,循環打開許可權列表中存在的所有許可權,通過GetProcAddress,讀IMAGE_EXPORT_DIRECTORY,硬編碼地址等多種方法獲取Api:
EnumProcessModules
GetModuleFileNameExA
NtQuerySystemInformation
NtQueryInformationProcess
NtQueryInformationThread
NtOpenThread
NtQueryObject
NtQueryInformationFile
NtEnumerateValueKey
NtQueryValueKey
GetProcAddress
LoadLibraryA
等等
2:
檢查進程ieuser.exe,找到了就結束該進程
複製自身到%sys32dir%\kdxxx.exe的中,xxx為3位"a--z"的隨機小寫字母,同時複製explorer.exe到%sys32dir%下
添加註冊表啟動項:
Software\Microsoft\Windows NT\CurrentVersion\Winlogon system 指向病毒檔案
Software\Microsoft\Windows\CurrentVersion run 指向病毒檔案
如果系統是Vista,會添加一個服務啟動項: Windows Tribute Service
3:
關閉 Dnscache 服務;
修改
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DhcpNameServer 和 NameServer
85.2*5.1*4.106,85.2*5.1*2.1*5
修改DNS伺服器到白俄羅斯的域名解析伺服器。
重新打開Dnscache服務
4:Hook下列函式,隱藏病毒檔案
NtSetValueKey
NtResumeThread
NtQueryDirectoryFile
NtDeleteValueKey
OpenProcess
DebugActiveProcess
5:
將病毒代碼注入到其他的系統進程中執行,
被注入代碼的、進程的頭部+Ch處,有"PE"的標記。
嘗試注入的進程有explorer.exe,csrss.exe,runonce.exe,service.exe等等
注入代碼包括循環添加註冊表啟動項,循環修改DNS伺服器設定;
連線遠端地址64.*8.1*8.2*1,執行其他的黑客行為,盜取信息,下載;
檢查到瀏覽器iexplorer.exe時,hook下列Api:HttpSendRequestA,RegisterBindStatusCallback,recv
檢查到瀏覽器firefox.exe的話,hook下列Api:recv
6:
結束自身進程
保留一個打開的句柄在csrss.exe中,防止自身被刪除
