本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
这个病毒，修改用户DNS设置，使用户正常网站链接被定位到病毒设置的钓鱼网站

行为分析：
这是一个专门劫持浏览器的木马。它通过修改用户的DNS设置，使用户在浏览正常网站时，被指引到病毒作者指定的钓鱼网站。病毒作者采用一系列复杂的加密手法，试图干扰安全软件的正常查杀。

描述：
这个病毒，修改用户DNS设置，使用户正常网站链接被定位到病毒设置的钓鱼网站





这个病毒经过变形处理，解密前的导出表是两个随机名，运行后会解密真正的导出表函数与代码。



调用导出表函数_mp@4：

1：打开当前令牌，获取TokenPrivileges，循环打开权限列表中存在的所有权限，通过GetProcAddress，读IMAGE_EXPORT_DIRECTORY，硬编码地址等多种方法获取Api：

EnumProcessModules

GetModuleFileNameExA

NtQuerySystemInformation

NtQueryInformationProcess

NtQueryInformationThread

NtOpenThread

NtQueryObject

NtQueryInformationFile

NtEnumerateValueKey

NtQueryValueKey

GetProcAddress

LoadLibraryA

等等



2：

检查进程ieuser.exe，找到了就结束该进程

复制自身到%sys32dir%kdxxx.exe的中，xxx为3位"a--z"的随机小写字母，同时复制explorer.exe到%sys32dir%下

添加注册表启动项：

SoftwareMicrosoftWindows NTCurrentVersionWinlogon system 指向病毒文件

SoftwareMicrosoftWindowsCurrentVersion run 指向病毒文件

如果系统是Vista，会添加一个服务启动项： Windows Tribute Service

3：

关闭 Dnscache 服务；

修改

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

DhcpNameServer 和 NameServer

85.2*5.1*4.106,85.2*5.1*2.1*5

修改DNS服务器到白俄罗斯的域名解析服务器。

重新打开Dnscache服务



4：Hook下列函数，隐藏病毒文件

NtSetValueKey

NtResumeThread

NtQueryDirectoryFile

NtDeleteValueKey

OpenProcess

DebugActiveProcess



5：

将病毒代码注入到其他的系统进程中执行，

被注入代码的、进程的头部+Ch处，有"PE"的标记。

尝试注入的进程有explorer.exe,csrss.exe,runonce.exe,service.exe等等

注入代码包括循环添加注册表启动项，循环修改DNS服务器设置；

连接远端地址64.*8.1*8.2*1，执行其他的黑客行为，盗取信息，下载；

检查到浏览器iexplorer.exe时，hook下列Api：HttpSendRequestA，RegisterBindStatusCallback，recv

检查到浏览器firefox.exe的话，hook下列Api:recv





6：

结束自身进程

保留一个打开的句柄在csrss.exe中，防止自身被删除