存档

文章标签 ‘RLO’

[译]我们能相信自己的眼睛吗?

2012年9月11日 8 条评论

几天前一个客户向我们提交了一个样本(SHA1值为fbe71968d4c5399c2906b56d9feadf19a35beb97,检测结果为TrojanDropper:Win32/Vundo.L)。这个木马使用了一种特殊的方式劫持了vk.com以及vkontakte.ru这两个域名(都是俄罗斯的社交网站),并将他们重定向到92.38.209.252的IP地址。

通常劫持一个网站并将其重定向到攻击者的IP地址的方法是修改位于%SystemRoot%\system32\drivers\etc目录下的hosts文件,然而,当我们在被感染的机器上打开hosts文件的时候,里面并没有发现与vk.com和vkontakte.ru相关的重定向规则。

但是当设置显示隐藏文件的时候,我们发现了另一个hosts文件,该文件是隐藏的。
竟然在etc目录下存在两个名字同为hosts的文件,这到底是怎么回事呢?[......]