Вірус скидає налаштування DNS в 127.0.0.1
20 Jun 2012 | Автор: anchous |
Напоровся на тут на цікавий вірус, який не зустрічав ще до цього. Власне познайомився з ним на стадії того, що клієнт, повернувшись з відрядження, не зміг увійти з ноута в інет, так що довелося під'їхати подивитися.
Машинка Windows 7, варто NOd32, але Comodo я йому ставити не став, так як оперативки на ноут замало. В інет він виявляється входив, бо скайп підключався, але ось з дії були якісь проблеми. Глянув ipconfig / all, так і є - DNS чому то варто 127.0.0.1. Зайшов в налаштування сітки дійсно прописаний руками.
Людина природно клявся і божився, що нічого не чіпав, але ми то цих клієнтів знаємо. У підсумку змінив на автоматичну видачу DNS, перегрузіл- все працює. Ну і забув.
Увечері дзвінок, знову не можу войті- ну по телефону попросив його провести кілька маніпуляцій, знову DNS скинутий і в настройках в поле DNS ручками прописаний 127.0.0.1
Пояснив як виправити і на наступний день, вже озброївшись флехой, поперся дивитися що там відбувається
Виявилося вірь, вицепляемий HackJack'ом і Dr.Web CureIT!
пишеться в реєстр численна настройка DNS, який і скидає ручние- виглядає запис приблизно так, тільки продубльована 5-6 разів для різних класів:
HKLM \ System \ CCS \ Services \ Tcpip \ ..: NameServer = 127.0.0.1
а також автостарт пари рандомних файлів з темпів юзверя. Так що все поотрубал через HackJack, після чого отсканіл машинку CureIT !, яка і зловила звірка. Сам що то тормазнул, так як тріпався з клієнтом за життя, і не записав класифікацію по Dr.Web, але як я розумію по класифікації Касперського - це Trojan-Downloader.Win32.Injecter.lfi
Після видалення зловредів і чищення слідів їх присутності варто перетрусити стек TCP / IP або обнуленням параметрів, або видаленням інтерфейсу, так як на парі комп'ютерів була помічена не зрозумілий глюк, що після виправлення настройка все одно скидалася, не дивлячись на те, що в системі вже не було слідів присутності капості.
Зовсім свежачок, що з'явився в кінці травня.
Теги: dns , вірусний