这是一个创建于 3102 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近在任务管理器中发现了很奇怪的程序,*.tmp.exe 的进程,而且还是 SYSTEM 用户, 现在是每次开机都会自动在 C:\Windows\Temp\ 目录下面创建这些文件,并自动运行,防火墙也被关了。
用腾讯的电脑管家扫描提示安全,但是用 360 杀毒扫描提示是木马。分析之后发现里面有一个 EXE 包含了很多加密模块的代码,吓得以为是勒索软件,但感觉又不像。但是用 360 全盘扫描也没发现其他的问题,把这些木马清除后,下次开机后又出现了,想知道这是什么,还有就是有什么好的解决方法吗?
分析了一下,发现会自动连上一控制端的 IP,111.90.145.100:5555 做一个登录操作。用 ipip.net 查询后发现是马来西亚的 IP。
传输的数据内容是这样的
nmap 一下发现开了这些端口
PORT STATE SERVICE 21/tcp open ftp 80/tcp open http 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds 3333/tcp open dec-notes 5555/tcp open freeciv 6667/tcp filtered irc 6668/tcp filtered irc 6669/tcp filtered irc 7777/tcp open cbt 8888/tcp open sun-answerbook 访问一下页面
http://111.90.145.100:3333/
发现会返回这个
mining server online 看起来有点像比特币的挖矿服务端
 | 1 xingchengo OP 对了这些程序还会对 host 文件加上这些东西,全部是针对 avast 的 ``` 127.0.0.1 gf.tools.avast.com 127.0.0.1 pair.ff.avast.com 127.0.0.1 ipm-provider.ff.avast.com 127.0.0.1 ipm-provider.ff.avast.com 127.0.0.1 ipm-provider.ff.avast.com 127.0.0.1 id.avast.com 127.0.0.1 v4618535.iavs9x.u.avast.com 127.0.0.1 v4618535.ivps9x.u.avast.com 127.0.0.1 v4618535.ivps9tiny.u.avast.com 127.0.0.1 v4618535.vpsnitro.u.avast.com 127.0.0.1 v4618535.vpsnitrotiny.u.avast.com 127.0.0.1 v4618535.iavs5x.u.avast.com 127.0.0.1 v7.stats.avast.com 127.0.0.1 v7.stats.avast.com 127.0.0.1 v7event.stats.avast.com 127.0.0.1 sm00.avast.com 127.0.0.1 submit5.avast.com 127.0.0.1 geoip.avast.com ... ``` |
 | 2 acess 2017-06-02 18:20:13 +08:00 你需要重装系统了…… 有兴趣的话,上传 VirusTotal。Process Monitor 的 Boot Logging 也可以帮你监控系统启动过程。 Process Monitor 直接勾选 Enable Boot Logging 可能会提示拒绝访问,你可以先保存一个 PML 文件,然后重启,再打开那个被保存的 PML 文件,这样 Process Monitor 就不会加载驱动,这个时候再勾选 Enable Boot Logging 就不会拒绝访问了。 |
 | 3 wevsty 2017-06-02 18:23:36 +08:00 这些是病毒无疑,如果不想折腾建议重装系统。 如果想折腾试试,可以用 360 急救箱,强力模式进行扫描。 |
 | 4 U7Q5tLAex2FI0o0g 2017-06-02 18:25:46 +08:00 重装保平安(逃) |
 | 5 des 2017-06-02 18:29:44 +08:00 via Android 都 system 权限了,什么不能做?还是重装吧 |
 | 6 botman 2017-06-02 18:38:09 +08:00 via Android  1 它都屏蔽 avast 了 所以卸 360 装 avast 更新病毒库后开机扫描一下估计能干掉。 |
| 7 acess 2017-06-02 18:44:31 +08:00 能看见进程,也许只是幸运,没碰到技术太变态的;也可能只是冰山一角…… 如果是进入内核运行的恶意代码,把自己完全藏起来是有可能的。远的不说,想想 DoublePulsar、暗云、谍影系列木马…… |
 | 8 SuperMild 2017-06-02 18:52:00 +08:00 via iPhone Dr.web 有免费的全盘查杀工具,可以去下载试试看 |
 | 9 gouchaoer 2017-06-02 18:59:53 +08:00 via Android 重点难道不是腾讯不报毒? |
 | 10 virtualworld 2017-06-02 19:09:39 +08:00 我最近倒是在 AppData\roaming 下发现了一堆乱七八糟字符的各种文件,有*.log 有没有后缀的,但都有腾讯的数字签名,说是什么电脑管家 dr.dll |
 | 11 restran 2017-06-02 19:25:53 +08:00 @acess @SuperMild @botman 谢谢,我一开始看到这些文件的时候,还以为是 Windows 自动更新的文件,但是发现没有签名很奇怪,就用电脑管家扫描了一下,结果没提示有问题,但是不放心,又去 http://www.virscan.org/ 检测了一下,结果有些杀毒软件提示有木马,有些没有。我装了 Avast 开机扫描一遍,很奇怪的是,那个恶意的 *.tmp.exe 文件是由 rundll32.exe 创建的,而且我目前还没找到其他可疑的进程。 virscan 的扫描报告在这里 http://r.virscan.org/report/e1bbf062c1401fe5029a45dcd8cc2421 http://r.virscan.org/report/ad5abc783458477f216129442c5655db http://r.virscan.org/report/bdd3b9e9385ce1071eb543af8296d2ff |
| 12 wevsty 2017-06-02 19:30:01 +08:00 @restran 进程不说明一切,也有可能是由 rundll32.exe 加载的某个 DLL 形成的现象。 有能力的话可以自己用 ARK 或者 Autoruns 分析一下启动项。 最简单的还是 360 急救箱强力模式进行扫描,或者重装系统。 |
| 13 acess 2017-06-02 19:30:16 +08:00 @restran 我试过用 DoublePulsar 这个内核后门跑 meterpreter 木马…… 用 Process Explorer 看,就是被注入的 lsass.exe 产生了 rundll32.exe,然后它又执行了 meterpreter …… 排查启动项可以用 Autoruns。如果怎么找都找不到自启在哪,也许人家在内核里做了手脚,把自己藏起来了;或者,人家已经在你电脑上装了 Bootkit,完全拿下了内核控制权…… |
| 14 acess 2017-06-02 19:34:16 +08:00 @wevsty 有一阵子流行暗云木马的变种,一开始我用 360 的急救箱都完全没用(联网了)。后来跟他们反馈了一下,过了一阵子(也不知道和我的反馈有没有关系),他们更新了,就可以杀了,但是急救箱界面上仍然没扫到任何东西。 |
| 15 acess 2017-06-02 19:37:35 +08:00 @restran 不知道你有没有在用 UEFI+GPT ? 如果没在用 UEFI+GPT,还是传统 BIOS+MBR 的话,建议你用 WinPE 启动,检查一下 MBR 和 PBR 代码是否正常。暗云木马就是在 MBR 里安家的(当然,一个扇区肯定装不下,在别的扇区有余下的部分)。系统启动时木马代码优先被执行,然后在内核里挂钩做手脚,有些 ARK 工具(比如 PCHunter )都被欺骗,查不到异常。 |
| 16 wevsty 2017-06-02 19:39:41 +08:00 @acess R0 的对抗是永无止境的。360 急救箱的强力模式在大众情况下能解决多数的问题,包括很多 Rootkit,如果急救箱也解决不了,那么还是直接重装比较靠谱。 |
 | 18 anoymoux 2017-06-02 19:56:14 +08:00 为什么还有人迷信杀软,写一个病毒,第一件事就是如何免杀,如果能被主流杀软识别,那这个病毒还有什么意义呢.. |
| 19 xingchengo OP @acess 我把 Windows 又开起来了,rundll32.exe 那个就是系统自己的,用了 Avast 开机扫描,目前是没发现有重新创建那些 *.tmp.exe 文件了,但是还是有些怕怕的,现在用 360 急救箱,在考虑要不要重装。 |
| 20 acess 2017-06-02 20:21:30 +08:00 @xingchengo 这个文件当然是 Windows 自己的……但 rundll32 只是个“容器”,里面是啥都能跑啊。你用 Process Monitor 看了么?是哪个进程启动 rundll32 的?参数? |
| 21 xingchengo OP @acess svchost.exe,开机后 Avast 又把这个 C:\Program Files\SorarCharts\SorarCharts.dll 干掉了 参数是这个 c:\windows\system32\svchost.exe -k netsvcs -s Schedule C:\WINDOWS\system32\rundll32.exe "C:\Program Files\SorarCharts\SorarCharts.dll",DXGsOtns  |
| 22 acess 2017-06-02 20:49:37 +08:00 @xingchengo 把这个 dll 传 VirusTotal 吧。 |
| 23 acess 2017-06-02 20:51:56 +08:00 @xingchengo 再看看计划任务(比如用 Autoruns ),看上去是从计划任务自启的。 |
| 24 xingchengo OP @acess 26 分钟前刚刚有人传上去分析,这个文件第一次被分析是在 2017-05-17 17:48:19 UTC. https://www.virustotal.com/zh-cn/file/6348e30db87507281b5666c1c64ae30c69d000bdaa178a922ce5af05ce99e47d/analysis/ |
| 25 xingchengo OP |
| 26 acess 2017-06-02 21:18:56 +08:00 via Android @xingchengo 应该是病毒无误,被叫做 Wdfload。网上已经能搜到分析了,行为差不多对上号。 |
 | 27 lm902 2017-06-03 06:23:50 +08:00 via Android 这病毒开发者还是技术不过关啊 还往 tmp 里写代码 |
Select Language