找回密码
 加入网盟
分割线
华夏网管联盟 技术分享 查看内容
GG赞助广告banner

又见XX王的那些见不得光的事儿?排查网吧广告流程教程

2020-12-9 14:16| 发布者: 不离不弃| 查看: 901| 评论: 4|原作者: 无名小卒

摘要: 1:上个月我们接到福建福州地区30家网吧出现问题,客户机上出现随机网络游戏末尾带数字的进程,6代以下的CPU客户机会卡(卡的时候CPU占用不高、内存占用也正常),9代10代CPU没有问题。如下图: 出现问题的机器部署工具监测cmd.exe创建gxsq.exe-7z34.exe-cmd.exe。结果没能监测到最早的cmd是谁创建的。 临时处理方法: MD5码禁止。 4F7C895BFCDE39C482E02D89C5CC1D42\8D10C62BB9A192DE610239C2AB4AE9F9
1:上个月我们接到福建福州地区30家网吧出现问题,客户机上出现随机网络游戏末尾带数字的进程,6代以下的CPU客户机会卡(卡的时候CPU占用不高、内存占用也正常),9代10代CPU没有问题。如下图:
1.png
出现问题的机器部署工具监测cmd.exe创建gxsq.exe-7z34.exe-cmd.exe。结果没能监测到最早的cmd是谁创建的。
临时处理方法:
MD5码禁止。
4F7C895BFCDE39C482E02D89C5CC1D42\8D10C62BB9A192DE610239C2AB4AE9F9
1.png
2.png
2:该程序为58guyu广告增值投放木马组件,该木马最先出现在服务端,由于该木马会对当前运行环境检测及多级配置及驱动文件释放调用,攻击手段较为复杂,安全中心之前未排查到相关来源,出现这样的在客户机上的表现是以下几个方面的。
A  锁定主页:
1.png
B  部分网吧会下发配置,修改LOL界面按钮,假冒活动链接
1.png
C 下发游戏广告
1.png
D 流量劫持,指定网页弹出对应窗口
1.png
3 :经过我们公司安全部门的同事排查结果如下:
A:执行流程:
1.png
B:排查流程
(一)  Explorer.exe进程内存dump中发现增值木马文件,该木马判断万象计费客户端及网维菜单进程,并发现explorer.exe程序加载可疑VMP壳dll程序
1.png
2.png
排查流程
(二)  编写64位dll测试加载程序dllload.exe,加载explorer.exe模块的VMP壳dll组件,访问日本亚马逊IP获取数据失败,重启“XX王实名认证插件”进程后,测试加载程序开始访问正常,执行后续木马组件释放行为
1.png
(三)  igxpdb64.dll驱动文件含XX王数字签名信息,将该驱动卸载并删除木马文件后,环境正常,用工具将igxpdb64.dll驱动文件重新加载后或重新安装XX王实名插件,系统目录释放增值木马dll组件
1.png
更多排查教程:
https://www.hxwglm.com/thread-37962-1-1.html

本文转自 E城大叔公众号

鲜花
鲜花
握手
握手
雷人
雷人
路过
路过
鸡蛋
鸡蛋

相关阅读

官方推荐

相关分类

GG赞助广告