|
【问题现象】 在前几天某地区有用户反馈所维护的多家网吧最近会出现严重弹网页及客户开机100分钟左右的时候就刚开始出现有些像CPU使用率达100%的感觉一样,另外游戏时中不断的弹网页和看网页电影跟个放幻灯片似的,网民与网吧业主天天都说去年买了很多“表”。
【原因说明】经过用户的邀请,笔者也是甚是好奇的到现场看了,通过一系列发现原因是使用非官方下载过来一个款叫“网吧语音大师”搞的鬼(经过反复测试官方下载程序是正常的),程序目录中的LBSclient.exe一个程序有后门程序iexplore.exe通过FTP的方式去下载一系列的木马及插件修改系统文件达到截持系统权限达到控制系统,无所欲为弹网页和占用系统资源导致网民和网吧业主去年都买了很多的“表”的主要原因。 
【解决方案】建议用户使用官方下载的版本解决;网吧为一个公共的网络场所,对网络的安全负责和管理是非常重要!!!切记!!!
【问题分析】一、监控系统中所有的程序的动作 ---使用360MD工具监控 在360MD监控在开机不久就有出现设置为启动项的"LBSclient.exe"开始从外网的IP地址116.255.161.10端口21的FTP协议下载一个跟系统关键进程一样名称的"SVHOST.exe"木马文件,然后执行木马"SVHOST.exe"修改"win.ini"和"mswinsck.ocx"并执行"regsvr32.exe"对系统进行修改注册表项;然后又通过"SVHOST.exe"木马程序使用http协议访问地址122.228.251.102下载木马伪装跟IE进程一样名称的文件"iexplore.exe"到临时文件目录并执行后一堆的木马对系统破坏;图有点多,各位耐心点看。          
二、所弹出的网页及任务管理器的截图     
三、确认文件木马的类型 ---方便快捷的在线查毒站点http://www.virscan.org/ iexplore..exe 
lock2[1].exe  
| 
/1 
湘公网安备 43120202000168号 |
免责声明
本服务器托管于 <阿里云>
显身卡
做网吧行业最后死去的一个论坛
