可疑的dns.exe(根据端口与网络截包)

lwj707

本来发在病毒救援区，后来gankeyu老大让我将样本发到这儿。
我就再描述一下(详细描述还是见http://bbs.kafan.cn/viewthread.php?tid=513081&page=1&extra=page%3D1#pid8382384）：

2000server服务器。
使用netstat -an跟工具看到大量（几千个）6xxxx/4XXXX开头的udp监听端口（我会给出例子，并附在附件里面），用工具查看才知道是dns.exe这个进程的，而这个文件是09年修改的（2000系统哟），不知道是补丁还是别的被人修改了（virustotals在线检测这个文件没有病毒或不是木马）。

附图与dns相关的exe与dll样本。


感谢版主与各位。

Ceker

初步判断不是病毒，该程序有数字签名，调用conime.exe后自我退出，没有任何行为。


[ 本帖最后由 Ceker 于 2009-7-5 09:27 编辑 ]

evilrabbit

  第二个图片 是什么工具？ tiny？

lwj707

你看我第一幅图，
它一直监听那么多udp端口呢。
应该不会直接退出把？缺少什么文件？

Ceker

是不是被病毒注入dll了，把模块都发上来。

evilrabbit

第一个图看不出来什么啊，不过这个动作很奇怪。

lwj707

原帖由 Ceker 于 2009-7-5 09:49 发表
是不是被病毒注入dll了，把模块都发上来。

感谢楼上几位！
对了，另外一个重要现象就是大概32-48x小时这个（就是跑一天多），
服务器上大不开任何WEB页面，比如ping www.baidu.com能通，
但是telnet www.baidu.com 80不通。是不是说明端口资源用完了？（我只得重起服务器）。
下面是sreng日志与wsyscheck的模块。

IllusionWing

可telnet就说明端口没用完。可能是流量过大？

lwj707

原帖由 J-F-F 于 2009-7-5 11:59 发表
sreng未见异常。
把 mssearch.exe服务禁掉试试

停了。不会对我的sql server2000搜索有影响吧？
（搜了一下，说可以帮会组sql server6快速建立索引，不知道对sql server2000有无影响）。
谢谢！！！

另外，我停掉了dns.exe（dns服务），那几千个udp端口就没有了。
但是我怕我这个服务器的3个网站没法解释了。
会不会呢？
还是别的dns服务器解释我这三个网站？
（我这服务器的ip配置里面dns是别的两个ip）

evilrabbit

这台机器是做什么用的，做服务器用，不推荐关掉这个服务，如果是家庭用户的话，停止了没影响