【IT168 资讯】FireEye恶意软件智能实验室的Alex Lanstein，指出了去年10月被关闭的Intercage/Atrivo之后的恶意网络情形，其中，包括有臭名昭著的McColo——它是世界上许多垃圾邮件的发源地。他现已确认，这些恶意网络的“姐妹组织”仍在一些地方(比如乌克兰)运行。

　　具体来说，Lanstein针对UkrTeleGroup提供了一份详细的关于DNSChanger Trojans 病毒如何连接到服务器并注册到网络的过程。被感染的计算机会利用大部分时间来请求正确的域名信息，但是当请求其他著名的域名比如谷歌、MSN、雅虎或者AOL，电脑就会被引导至UkrTeleGroup服务器，由该服务器取代那些网站发回请求信息。

　　“......这种运作方式犹如某种恶意软件进入你的电脑系统，它可以更改你所使用的DNS服务器以逃避对恶意服务器的查找。”Lanstein表示，“大多数情况下，恶意DNS服务器会让你对某些特定域名提供正确的IP地址解析，但是对于某些它们想控制的域名网站，服务器给你传回的将是它们设计好的IP地址。”

　　Lanstein列出了大量连接注册到UkrTeleGroup和其他主办的恶意网络的IP地址。下面所列的，就是被劫持的网站信息，其中包括但不限于：

　　google.ca

　　rds.yahoo.com

　　auto.search.msn.com

　　searchsense.search.live.com

　　search.aol.com

　　ac2.msn.com

　　ac3.msn.com

　　googleadservices.com

　　rc10.overture.com

　　rc12.overture.com

　　wzus1.ask.com

　　results.googleadservices.com

　　results.msn.com

　　results.overture.com

　　google.fr