技术分享 易乐游环境客户机启动游戏就会弹ie浏览器(服务器中毒) [复制链接]

1c3Cre4m
三国LV9
技术中心 21613 0 2019-9-24 16:56:44
本帖最后由 1c3Cre4m 于 2019-9-24 16:57 编辑

问题现象:
网吧反馈客户机从菜单运行所有游戏都会弹IE浏览器,现象如下:
2.jpg

排查过程:
1.查看纯易乐游环境(取消计费和开机启动项的环境)是否会弹出,发现纯易乐游也会弹
2.用process monitor查看是Detail行是什么程序吊起的iexplore.exe进程,如下:
1.jpg
发现是DesktopLayer.exe进程调用了cmd,运行了命令‘C:\Program Files\Internet Explorer\iexplore.exe’,从而弹出了IE浏览器
程序路径是在C:\Program Files (x86)\Microsoft 里,但是挂载镜像查看相同路径是没有这个文件的。接着使用process monitor查看是什么进程生成的DesktopLayer.exe程序,如下:
3.jpg

4.jpg
发现是游戏目录下的menusrv.exe进程创建并启动的DesktopLayer.exe进程,menusrv.exe是易乐游的菜单进程menu.exe创建的,怀疑是易乐游游戏文件有问题,联系易乐游的技术询问,他们那边发现我这里的menu文件和他们资源里面的menu文件大小不一样,正常的如下:
21.png

网吧的如下:
22.png

正常的menu.exe只有1255kb,而这个网吧是1312kb,完整修复后大小恢复正常变成1255kb。尝试重启客户机运行游戏试试,但是重启后运行游戏依然会弹出IE浏览器。
3.继续用process monitor工具查看,发现是启动游戏调用公共组件的时候,公共组件的进程MatrixMenu.exe生成了MatrixMenuSrv.exe,MatrixMenuSrv.exe进程生成了DesktopLayer.exe,DesktopLayer吊起了IE。
11.jpg
4.和易乐游官方的技术对比了下MatrixMenu.exe进程的大小,发现这个文件也被篡改了。正常是2031kb,而我这边不是。服务端资源中心完整修复游戏公共组件这个资源后,重启客户机测试梦三国2,发现能正常启动游戏不会弹IE浏览器了。
5.在服务器检查其他的游戏,发现有问题的游戏menu.exe都是被篡改过的,完整修复后客户机运行就不会弹IE浏览器了。
6.问题基本上可以确认是服务器中病毒了,后续为了保险服务器进行了格盘重做

您需要登录后才可以回帖 立即登录
高级模式
返回
统计信息
  • 会员数: 29070 个
  • 话题数: 9636 篇
  • 巅峰数: 5500 人