近日由于网吧行业慢慢复苏,让一些灰色产业也开始发力
排查问题并非一日之功,经过多次排查,判断,最终在某个友人的环境下确定了一个
该问题是服务器被感染了,至于感染的途径暂时未知,可能是安装第三方程序多了导致,也有可能是远程泄露导致被入侵
问题现象:封号
进程名:随机
服务:随机
路劲:syswow64目录下
该进程还会调用一个随机名DLL,目录也在syswow64目录下。随机进程图标一致,MD5等无法确认,第一个环境已经丢失
MD5: 691B646757CB20C603CAA58CC5644080
SHA1: 771440BB9F738BB8149724120C79B6A191AC58A4
CRC32: 4714085F
进程行为
创建本地线程
枚举进程
其他行为
直接调用系统关键API
检测自身是否被调试
创建互斥体
创建事件对象
打开互斥体
搜索kernel32.dll基地址
打开事件
直接操作物理设备
调用Sleep函数
直接获取CPU时钟
VMWare特殊指令检测虚拟机
解决方法:找到进程,结束进程如何找进程:
1.看进程图标
2.看进程名
3.看服务名
全部确定之后,先查看进程所调用的dll文件,然后把进程结束掉,之后把随机进程文件和dll文件都删除。路由器屏蔽IP:13.107.246.50
该现象还有一些疑问,比如它是在服务器上,只是行为异常,但是并没有盗号。 那他和客户机盗号有没有关联? 目前还无从得知。
只是我们网吧删除该文件之后,网吧的确没有再出现盗号,分析这个文件也的确检出了不一样的地方。有没有可能是巧合? 你也可以试试确定下。
如果有遇到LOL封号可以删除,观察看看。
最后与技术共勉:保住自己的口碑,生意是做不完的。 |
|