近日看到有群友说服务器被植入木马了,将文件进行分析之后发现特征码我之前就看到过,当时以为是第三方程序没有引起重视,目前来看全部是被注入远控木马了;在这里还是需要推荐一下我们的网吧安全球产品,服务器上运行之后即便是被植入了木马,他也无法修改游戏文件,保障你的最后一道防线;
文件分析如下:
MD5 8d520b4a5d5f9c8ad34538e401781d21 SHA1 fad175d6b7b0ba24ad2cbb37c59c8675a586c8ec SHA256 94fea42b7796ef57d0b86bdbdf4a8fbdeff8578021f734b398ba7971305f60cb 文件名称 svchsot.exe 域名对象 行为异常分析 安装自身来实现自启动 注册表键: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\XXXXXXADB10B16 注册表值: C:\Windows\XXXXXXADB10B16\svchsot.exe 禁用代理可能用于流量劫持 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable 将原始的二进制可执行文件移动到一个新的位置 newfilepath: C:\Windows\XXXXXXADB10B16\svchsot.exe newfilepath_r: \??\C:\Windows\XXXXXXADB10B16\svchsot.exe oldfilepath: C:\Users\ADMINI~1\AppData\Local\Temp\svchsot.exe oldfilepath_r: \Device\HarddiskVolume2\Users\ADMINI~1\AppData\Local\Temp\svchsot.exe 总结:该进程为远控程序,如有遇到并没有安装安全球的用户如有发现请及时清理服务器,所有游戏都修复更新一次
| 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
