顺网无线疑似挖矿,顺网无线,让代理商如何再用你?(转载)
Xincafe / 2017-10-01 / 问题分享 / 阅读量 41

这两天网吧老板陆续来电话,反馈网吧卡。。。。

远程查看了一下服务器,网络,均正常,于是到现场查看,系统任务管理器进程也正常,网络也正常,可是玩家游戏时候确实隔一会顿卡一下。于是继续检查。当在服务端的远程客户机查看客户机信息的时候,发现了可疑进程,而且CPU占用很高,百分之30多,百分之40的时候都有。




为了证明不是个别人个别机器的原因,于是继续远程其他客户机,查看进程,发现都有可疑的随机进程名,而且有的机器是两个。于是我在服务端临时做了拦截操作。

这里可以看出来,这个流氓进程做得很隐蔽,在系统中的任务管理器打开,是没有可疑进程的,而通过无盘软件的服务端查看却可以看的到。那么说明进程做了隐藏操作,如果用PCHUNGTER,应该也可疑查看出来。

虽然临时解决掉了,但是为了查出幕后凶手,还是继续追查。于是开机调用了process monitor,来追踪。
开机两分钟左右,进程创建了,还是隐藏的。不过在C:\Program Files 路径下,创建了两个随机名的文件夹出来。打开文件夹,发现里面的EXE执行文件,与服务端查看的客户机进程名一模一样。


那么,就来追踪一下这个进程是什么创建的吧。通过PM追踪我们查到了,iIbw1I.exe是由explorer.exe创建的,如图:

那么到这里,就可以想到,一定是有程序注入了explorer.exe,然后生成的iIbw1I.exe。那么我们来找一下这些可疑的模块都有什么吧。用pchungter查看。

这里,我们不难看到,可疑模块大概有这几个,其中kshut.dll是某无盘的快速关机模块。其他的都为未知可疑模块。我们一个一个来查看。首先我来追踪一下Bsjvrorn.dll,查看一下他是怎么来的。通过追踪,发现,Bsjvrorn.dll是由一个叫nass1.exe的执行程序创建的:

那么,继续追踪一下nass1.exe是哪里来的吧……,到下图这里,我们就已经基本明了了,继续看

这里我们可以看到,nass1.exe,是由barinit.exe创建的。我们继续往上查找。

这里我们又继续看到,barinit.exe是由lwupdate._tmp_创建的。继续往上查。

到这里,我们看到了,这是lwupdate.exe创建的进程。后面的路径已经很明显了。这个程序是顺网无线的执行程序,由于顺网无线客户端升级了新版,必须是安装版,安装版本,在开机启动中调用这个程序,否则无法打开无线验证码。那么,我是在服务端开机调用的这个程序。

explorer.exe里面好几个可疑模块,为了做进一步证明,我继续追踪了一下其他可疑模块。68453.dll。结果发现,68453.dll是由nass.exe创建的:

继续追踪nass.exe.

到此位置,就不用继续查了。那么我继续查下一个可疑模块。zlibwapi.dll。

发现这个模块也是由nass.exe创建的,那么也没有继续查下去的必要了,结果已经很明显。于是继续查了一下gui32.dll和QpaGvR.dll,结果发现是由explorer.exe创建的。

应该是其他dll被注入到explorer后开线程创建的这两个可疑模块。其实到此为止,已经可疑证明了这个暗刷进程的来源了。有的计算机有两个随机可疑进程,而另一个可疑进程,是由第一个创建出来的随机进程创建的。

在这里,实在不想说什么了。前不久就有一个帖子,也是曝光顺网无线的,因为他出来一个随机的进程名synhost.exe,导致网吧卡。本人也遇到了,并且服务端屏蔽了这个进程,好了好多天。没想到,又开始搞起来隐藏进程暗刷。顺网无线,原来非常纯净的一个无线品牌,竟然在做这样的事情。你怎么对得起代理商,怎么对得起网吧用户。本人已经决定,并且下狠心,撤销所有网吧的顺网无线,并且不再使用!发在此处,只是想曝光这种可耻的商业行为,还大家一个干净的网络世界,大家一起抵制这种可耻的行为,才最好。

原文:http://www.clxp.net.cn/thread-13600-1-1.html

原作者:legend880103

微信捐赠
微信扫码加入群聊共同探讨
1 + 2 =
快来做第一个评论的人吧~