联通DNS解析故障了[半小时后杯具加剧,2011-02-22 14:37更新]

in 笔记

刚才大约十分钟以前,点击任何链接,均指向一个“Windows XP 安全更新程序 (KB929969)”页面,刷新后正常,但首次访问必然被劫持,第一反应是被万恶的猥琐ISP玩儿劫持了。然后尝试用IP直接访问网站,发现无碍,基本判断是dns出了问题[坚持标题党-_-!!!],更换联通自己的dns服务器到Google的8.8.8.8,一切症状消失。

此次具体表现为:

1:国内外任何网站首次访问被劫持,刷新后正常
2:不是一般的访问转向,因为补丁无法下载
3:更换DNS服务器后,问题得到解决
4:应该与Jasmine无关,因为不具有针对性

截图如下

099.png

100.png

101.png

102.png

103.png

2011-02-22 14:37更新

半个小时后问题严峻了,只开启远程dns能解析正确,首页正确,但一切下载均被替换。比如柴子刚才找的巨盾补补和xuetr最新版,下载后解压,均为某274K小程序,因为是在店里,手头没有HIPS,未作行为分析跟进。手动用ark查看了一下,本机无碍[还没傻逼到运行该程序]。

目前症状如下:

1:仅开启远程DNS解析,页面正确,但下载被替换。比较智能化的是,下载后文件名不变,下载的rar和压缩包内文件名不变,但压缩包内仅一exe文件,命名为setup.exe

2:该样本文件信息如下:

大小: 280620 字节
修改时间: 2011年2月22日, 12:11:12
MD5: 5E91FF55DC270D00DA95FBE7B2745216
SHA1: BEEE3BAA3E6F9505AAA4D221E066603B1891698B
CRC32: 68AB0A95

3:开启远程dns解析+全局ssh或者直接开启VPN全局,一切正常

初步判断是联通机房除了问题,比如机房arp神马的,哈哈,很欢乐的一天,已经给联通的朋友打电话反馈-_-!!!

[该文件系从绿软家园下载的李鬼版,http://www.downg.com/default.html]:

样本下载: http://www.hipschina.com/thread-3127-1-1.html

附comodo在线分析[VIA:username]:http://camas.comodo.com/cgi-bin/submit?file=522c619e098050d316c3c2165f5609595afed2c62f29f2caeed30c22e27f81e9