网维大师论坛-领先的网吧交流平台

 找回密码
 马上注册
查看: 7996|回复: 0

【案例分享】某计费辅助程序推送挖矿业务导致网吧爆卡

[复制链接]
  • TA的每日心情

    2018-3-9 08:58
  • 签到天数: 36 天

    [LV.5]常住居民I

    发表于 2018-3-26 13:55:59 | 显示全部楼层 |阅读模式
    【问题描述】
    4 S4 g% K; [, m" C- F, y近日接到一位河南郑州的技术求助,反馈客户机玩游戏爆卡,而且现象跟挖矿一致。开机时间越长越卡!把计费、营销等第三方软件去掉还是问题依旧。
    【问题结论】
    0 ~9 T+ z2 j/ [' j技术自己安装的一款去计费辅助程序推送挖矿业务导致,该程序用于“去广告”用途
    【分析过程】
    # O6 Y6 d# |& M* L. Y' R9 {1、使用互联网第三方程序检测软件djkdjfkj.exe查看确认dllhost.exe占用GPU、显存资源异常。
    5 v2 b6 k& U8 C/ Y( w
    2、使用微软的netstat -ao命令初步查看dllhost.exe所连接IP分别为120.55.26.225:8001、101.37.134.36:7001
    3、查看dllhost.exe父进程信息为svchdyn.exe
    4、 准备打开调试工具查看dllhost程序网络连接,发现打开调试工具或者GPU检测工具或者任务管理器后程序自动消失。
    & U1 s5 s* Q8 Q0 [
    5、关掉任务管理器以及调试工具后dllhost重新开始工作,使用第三方工具核对程序内存,发现程序所连接的7001端口真实域名为start2.uc916.com:7001
    6、上述信息中得知dllhost.exe为挖矿程序并且父进程svchdyn.exe会进行反调试操作,运行了调试程序会自动不工作,则证明有监护行为。
    7、为了近一步确认该程序来源,把机器重启后部署ProcessMonitor.exe程序进行查看启动过程,发现挖矿程序dllhost.exe(PID1956、PID3980)程序是被svchitw.exe(PID2824)启动。svchitw.exe是被另外一个svchitw.exe(PID2472)程序所启动,svchitw.exe的启动者为Loader.exe(PID552)
    8、将机器反复重启多次开机执行ProcessMonitor后抓到完整启动过程,证明Loader.exe是被一个Ghostlu.exe的程序(PID是1944)所运行创建起来。
    9、经过询问后技术后确认是自己做的启动项弄的

    : F& x8 I# s; k% N7 h) l: J
    您需要登录后才可以回帖 登录 | 马上注册

    本版积分规则

    QQ|《安全责任书》|联系我们|小黑屋|手机版|网维地图|网维大师论坛 ( 浙B2-20090265-1 )

    GMT+8, 2018-12-17 20:59 , Processed in 0.092138 second(s), 20 queries .

    Powered by Discuz! X3.4

    © 2001-2017 Comsenz Inc.

    快速回复 返回顶部 返回列表