西伯利亚渔夫为蒙古人种，最早出现在1750年，贝尔加湖北段。1876年，因沙皇俄国向远东扩张，这群渔夫又被迫从由贝尔加湖北段南迁至蒙古北部的巴楞格河上游。1921年，蒙古人民共和国成立，这群渔夫因与当年大清帝国有关联，则被驱逐出境，被流放到巴尔喀什湖附近。1991年，苏联解体，他们则成为了哈萨克斯坦国民。

西伯利亚渔夫病毒 Win32.Troj.Agent.ib.69632

病毒名称(中文):西伯利亚渔夫

病毒别名:

威胁级别:★★☆☆☆

病毒类型:木马程序

病毒长度:69632

影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

这是一个专门劫持浏览器的木马。它通过修改用户的DNS设置，使用户在浏览正常网站时，被指引到病毒作者指定的钓鱼网站。病毒作者采用一系列复杂的加密手法，试图干扰安全软件的正常查杀。

这个病毒，修改用户DNS设置，使用户正常网站链接被定位到病毒设置的钓鱼网站

这个病毒经过变形处理，解密前的导出表是两个随机名，运行后会解密真正的导出表函数与代码。

调用导出表函数_mp@4：

1：打开当前令牌，获取TokenPrivileges，循环打开权限列表中存在的所有权限，通过GetProcAddress，读IMAGE_EXPORT_DIRECTORY，硬编码地址等多种方法获取Api：

EnumProcessModules

GetModuleFileNameExA

NtQuerySystemInformation

NtQueryInformationProcess

NtQueryInformationThread

NtOpenThread

NtQueryObject

NtQueryInformationFile

NtEnumerateValueKey

NtQueryValueKey

GetProcAddress

LoadLibraryA

等等

2：

检查进程ieuser.exe，找到了就结束该进程

复制自身到%sys32dir%\\kdxxx.exe的中，xxx为3位"a--z"的随机小写字母，同时复制explorer.exe到%sys32dir%下

添加注册表启动项：

Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon system 指向病毒文件

Software\\Microsoft\\Windows\\CurrentVersion run 指向病毒文件

如果系统是Vista，会添加一个服务启动项： Windows Tribute Service

3：

关闭 Dnscache 服务；

修改

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters

DhcpNameServer 和 NameServer

85.2*5.1*4.106,85.2*5.1*2.1*5

修改DNS服务器到白俄罗斯的域名解析服务器。

重新打开Dnscache服务

4：Hook下列函数，隐藏病毒文件

NtSetValueKey

NtResumeThread

NtQueryDirectoryFile

NtDeleteValueKey

OpenProcess

DebugActiveProcess

5：

将病毒代码注入到其他的系统进程中执行，

被注入代码的、进程的头部+Ch处，有"PE"的标记。

尝试注入的进程有explorer.exe,csrss.exe,runonce.exe,service.exe等等

注入代码包括循环添加注册表启动项，循环修改DNS服务器设置；

连接远端地址64.*8.1*8.2*1，执行其他的黑客行为，盗取信息，下载；

检查到浏览器iexplorer.exe时，hook下列Api：HttpSendRequestA，RegisterBindStatusCallback，recv

检查到浏览器firefox.exe的话，hook下列Api:recv

6：

结束自身进程

保留一个打开的句柄在csrss.exe中，防止自身被删除