西伯利亚渔夫？漏网之鱼？

最近一段时间出现一种病毒，名为“西伯利亚渔夫”，该病毒使用了Rootkit技术，正常情况下会看不到文件，更险恶的是，该病毒会修改系统的DNS。

什么是DNS？

大家都知道，当我们在上网的时候，通常输入的是如：www.trendmicro.com.cn 这样子的网址，其实这就是一个域名，而我们计算机网络上的计算机彼此之间只能用IP地址才能相互识别。DNS是指：域名服务器(Domain Name Server)。域名和IP之间的转换工作称为 域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。

我们在一台电脑上，可以从两个地方获得一个域名所对应的IP，第一个是hosts文件，该文件的目录为C:\WINDOWS\system32\drivers\etc\hosts，可以文本文件打开编辑；第二个就是网络连接属性里的dns设置：

通常情况下，我们通过dns服务器来解析域名的次数更多，hosts文件大多只用来过滤部分特殊的网址。所以，如果dns被恶意修改了，后果则是不堪设想的。

例如，病毒将上图中的dns改为一台恶意的dns服务器的地址：192.168.0.2，该台服务器上也有域名和IP的关联数据库，不过在关联之前，它先做了一些其他的操作，比如链接到一个恶意的网站；或者，这个关联的数据库本身就是错误的，假设www.xxxxxxx.com本应对应的IP是192.168.0.3，但是恶意的服务器上存储的却是192.168.0.4，所以只要在0.4上放置一个与0.3看上去一模一样的网站，访问者就很难发现问题，但是不幸的是，0.4的网站上通常都包含病毒。

“西伯利亚渔夫”就干了这种勾当。

该病毒会将自身以随机命名的方式拷贝一份放在system32目录，并通过HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon项的system键值来随系统一起启动。

中了该病毒后，DNS会被强制设为：

并且无法修改，就算选择“自动获得DNS服务器地址”，重新打开后仍恢复原样。

分析一番之后，我们发现，该病毒对注册表的以下键值做了修改：

所以，只要我们将该键值锁住，病毒就无法修改了！

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces下会有几个子项，对应着你机器里的网卡的设置。一一点开，根据右边的IP地址，找到本台机器上网时对应的网卡。

找到后，右击左边的项，选择权限，再选择高级：

然后对“everyone”用户的“设置数值”设为“拒绝”：

保存。这样，病毒无法就修改你的DNS信息了。

重新运行病毒，OK，修改失败！

但是这样做，也有以下几个问题：

1·必须在干净的系统下做这样的设置，如果中毒后再做，由于“西伯利亚渔夫”使用了HOOK技术，所以我们做不到“修改为正确的dns后再设置权限”。因为你刚将dns改为正确的值，病毒就将它改回去了。

2·由于无法对NameServer这个单独的项做权限设置，所以，你网卡下的所有项都被锁住，所以，此类设置只适合“IP和DNS不经常改动”的机器，比如公司局域网。而个人ADSL用户由于IP是动态获得的，所以不适合使用此方法。

DNS欺骗的病毒虽然不多，但是一旦中招，后果会很严重，而且很难发觉。所以，用这样的方法来预防，还是挺不错的。当然，如果你使用了趋势的云计算，我们的云安全就有这用的功能来保护你不受“假冒网站”的攻击。

Jason Zhou