以更改 DNS 设定恶名昭彰的TROJ_DNSCHANG 木马家族，除了可能会让你打出正确网址，却被导引至钓鱼网站外，还有可能在你打错网址时，把你带到“成人搜寻引擎网站”。趋势科技的研究人员已发现一个超过 115 台恶意 DNS 服务器所组成的网络。该木马可能是来自恶意网站或是附身在提供免费下载的不明软件。

　　一般而言，当使用者在浏览器输入网址 (例如 www.google.com) 时，DNS 服务器便会将网域名称解析为 Google 网页所在的服务器的 IP 地址。若使用者输入的网址有误，例如 www.gogle.com，DNS 服务器便无法解析网域名称，而使用者便会看到错误讯息。

　　但是如果你中了TROJ_DNSCHANG 木马家族的最新变种，当你输入 "www.gogle.com"并不会显示“找不到网页”这个常见的错误讯息，而是被导向一个提供成人搜寻引擎的网站。（如下图）

　　

　　说明：在感染木马程序之前与之后，开启目前已不存在的网页的结果。干净的系统显示：此页面不存在。遭木马感染的系统显示的是：色情网站入口。

　　趋势科技表示，大多数 Internet使用者会自动启用 ISP 的 DNS 服务器。然而，一旦感染会变更 DNS 设定的木马程序会偷偷更改计算机设定，改用外部的 DNS 服务器。这些 DNS 服务器是由恶意组织所设置，并且会将特定网域转译为不实的 IP 地址。结果，受害者便可能在不知情的情况下被导向疑似恶意性质的网站。举例来说，如果使用者想要浏览某家网站，恶意的 DNS 服务器可能会将此网站解析为受不明第三方组织所控制的 IP 地址。如果该组织制作外观与“正版”网站类似的网页，便可能让使用者误认为他们浏览的确实是 想要去的网站，而不会发觉他事实上已进入由 “正版”网站以外的组织所掌控的网站。这可能会导致使用者的敏感信息泄漏给第三方。

　　由超过 115 台非法 DNS 服务器所组成的网络

　　趋势科技的研究人员已发现一个由超过 115 台非法 DNS 服务器所组成的网络。这些 DNS 服务器的一些行径相当耐人寻味。在我们使用这些 DNS 服务器进行查询时，我们发现大部分现存的网域都能正确解析。然而，若查询非现存的网域名称，这些非法 DNS 服务器却不会传回常见的错误讯息，而是将这些网域名称解析为恶意的 IP 地址。

　　这些非法 DNS 服务器主要是被用于伪造点阅数。类似的非法 DNS 服务器数量已超过 115 台的事实，透露出已有许多受害者感染了这种会变更 DNS 设定的特殊恶意软件。

　　我们发现另一件有趣的事是，这些非法 DNS 服务器会黑吃黑，绑架一些用于散播恶意程序的网域名称。举例来说，如果从遭感染的主机上输入www.toolbarpartner.com 这个专门提供恶意程序下载的网站，也会变成自动浏览成人网站。由此可见，这些非法 DNS 服务器主要是被用于伪造点阅数。

1 2 下一页