一例盗号问题分析
近日看到有群友说服务器被植入木马了,将文件进行分析之后发现特征码我之前就看到过,当时以为是第三方程序没有引起重视,目前来看全部是被注入远控木马了;在这里还是需要推荐一下我们的网吧安全球产品,服务器上运行之后即便是被植入了木马,他也无法修改游戏文件,保障你的最后一道防线;文件分析如下:
MD58d520b4a5d5f9c8ad34538e401781d21SHA1fad175d6b7b0ba24ad2cbb37c59c8675a586c8ecSHA25694fea42b7796ef57d0b86bdbdf4a8fbdeff8578021f734b398ba7971305f60cb文件名称svchsot.exe域名对象107.165.232.232:2011,61.177.40.146,app.systemincinfo.com,www.af0575.com,www.wk1888.com,www.fz0575.com行为异常分析安装自身来实现自启动注册表键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\XXXXXXADB10B16注册表值:C:\Windows\XXXXXXADB10B16\svchsot.exe禁用代理可能用于流量劫持HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable将原始的二进制可执行文件移动到一个新的位置newfilepath:C:\Windows\XXXXXXADB10B16\svchsot.exenewfilepath_r:\??\C:\Windows\XXXXXXADB10B16\svchsot.exeoldfilepath:C:\Users\ADMINI~1\AppData\Local\Temp\svchsot.exeoldfilepath_r:\Device\HarddiskVolume2\Users\ADMINI~1\AppData\Local\Temp\svchsot.exe总结:该进程为远控程序,如有遇到并没有安装安全球的用户如有发现请及时清理服务器,所有游戏都修复更新一次
页:
[1]