-
-
[讨论]svchost cpu占用44%,命令行名字里面有miner相关文字,怎么回事?
-
发表于: 2019-3-25 15:45
-
|
|
|---|---|
|
|
|
|
|
今天上网,cpu突然猛涨,发现一个svchost.exe cpu占用极高,任务管理器右键打开文件位置,看是正常的svchost.exe位置,然后拉到后面看了一下命令行,竟然是 auto miner,觉得有异常,于是杀死进程,继续上网,然后几分钟后,电脑死机,硬盘猛写,然后重启了,重启之后,这个svchost.exe (auto miner)又出现了:( 是否可能启动服务进程之后,再把服务从服务列表中删除? 或者不注册为服务,也可以通过api启动服务? 如何找到源头呢? 是谁启动了这个svchost.exe (auto miner)? |
|
|
命令行tasklist /svc看下 netstat -ano再看下 找同一个pid,看能不能定位下服务名 |
|
|
svchost.exe 3192 暂缺 netstat -ano 可以看到这个进程连接一个国外ip,在Process Explorer中也可以看到 主贴用markdown重新排版了, 搜 svchost.exe 进程模块分析 可以看到这个进程加载的模块,包括线程对应模块
最后于 2019-3-25 22:12
被petersonhz编辑
,原因:
|
|
|
发现2个相关exe了,但是如何删除这两个文件呢?(文件删除后,马上重新生成) https://bbs.pediy.com/thread-250438.htm 具体描述在这里 |
|
|
没有实际分析环境也说不清楚,有可能svchost起来的那个服务就是用来监控指定的文件,如果没了就从别的地方把备份拷过来或者下载回来,然后执行起来。 可以尝试断网删下看还会不会出来,如果还会那就是再本地哪里有备份。 wireshark抓下数据分析,结合procmon进程监控看下过滤一些API,既然有操作文件,文件删掉那会看下文件的来源。 |
|
|
|
|
|
为何services.exe系统进程会创建其中的一个文件呢? 系统核心进程为啥要干坏事:( |
|
|
services.exe不断轮询,创建病毒文件(删除病毒文件后,马上自动生成),说明services.exe成傀儡进程了么?如何找出是哪个映象文件被替换了呢?是哪个恶意程序把services.exe的映象文件替换了呢? |
|
|
|
|
|
病毒exe是services.exe进程创建的(删除病毒exe后,services.exe会马上重新生成病毒文件),这说明services.exe本身已经成为傀儡进程? 替换映象,可以是把进程内存中的dll代码替换为恶意代码? 是谁把services.exe进程的映象替换掉的呢?如何找出 |
|
|
|
|
|
https://bbs.pediy.com/upload/attach/201903/606264_F947FX5KNSNBA7J.png 看这张图,Procmon显示,services.exe进程不间断写入病毒文件。删除病毒文件后,马上重建。任务管理器只看到一个services.exe进程,为何这个系统核心进程会不间断生成病毒文件呢?确实有可能和你说的一样,恶意dll和shellcode被注入到service.exe进程了,问题是,恶意dll和shellcode被注入services.exe进程的过程,该如何分析 ?有什么思路么
最后于 2019-3-27 16:25
被petersonhz编辑
,原因:
|
|
|
那可能性就很多了。。。
底层的有bootkit(只是听说过,感觉说出来很牛逼),浅层的有服务、计划任务、注册表run  之类的360的优化加速里面会罗列出一些启动项,姑且看看呗,万一能找到呢 |
|
|
找到一个服务,指向病毒文件,病毒文件已经删除(杀死services.exe的情况下完成的),但是电脑上估计病毒还在(还没有解决services.exe成为病毒守护程序的问题),不知道什么时候还会冒出来。 这个守护进程可以释放病毒程序,可以创建服务,计划任务和注册表run。即使解决了病毒服务,病毒计划任务,病毒注册表run,如果不能解决病毒守护程序,还是不行的吧? services.exe进程被注入恶意dll或者shellcode的具体过程,有办法调试,或者阻断么?
最后于 2019-3-27 17:35
被petersonhz编辑
,原因:
|
|
|
强烈怀疑是bootkit病毒,会修改硬盘MBR,劫持引导过程。虽然挖矿服务现在不执行,强烈怀疑病毒还在后台运行,只是暂时没有把恶意代码注入services.exe,暂时没有生成挖矿服务。你熟悉MBR格式么?好像只有512字节,它是如何通过MBR引导运行病毒的呢? 腾讯有个分析,7baK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4N6h3q4F1K9X3W2S2i4K6u0W2M7i4q4Q4x3X3g2U0L8$3#2Q4x3V1k6F1k6i4N6K6i4K6u0r3L8U0y4Q4x3V1j5J5y4o6p5#2i4K6u0W2K9s2c8E0L8q4)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4K6t1$3L8X3u0K6M7q4)9K6b7W2!0q4y4#2!0m8c8q4)9^5z5g2!0q4y4q4!0n7z5q4)9^5b7W2!0q4y4g2)9^5c8g2!0n7b7W2!0q4y4q4!0n7b7g2)9^5y4W2!0q4z5q4!0m8y4#2!0m8x3#2!0q4y4q4!0n7z5q4)9^5b7V1#2n7f1W2!0q4y4W2!0m8x3q4!0n7b7#2!0q4y4g2!0n7b7#2)9^5c8W2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4g2!0n7z5g2!0n7y4W2!0q4y4W2)9^5b7g2)9^5b7g2!0q4y4W2)9&6y4g2!0n7x3q4!0q4y4W2)9^5c8q4!0m8c8g2!0q4y4g2)9^5c8W2)9&6x3g2!0q4y4q4!0n7z5q4)9^5b7g2!0q4y4W2)9&6c8q4!0m8y4b7`.`. |
|
|
https://bbs.pediy.com/thread-250484.htm 病毒似乎换了一个进程作为恶意代码宿主,释放的病毒exe换了个名字,大小看着没变,但是hash值变了。 如何找出病毒的源头呢? |
|
|
|
|
|
分析MBR的512字节,可以诊断电脑是否中bootkit么? |
|
|
|
|
|
|
|
|
diskgenius可以读第一扇区,但是好像无法直接导出这512字节,有什么工具可以导出呢?通过这512字节,可以判断是否中bootkit么? PE进系统,有啥用,那么多文件,没PE不是也找出几个文件了么。 每次找到病毒的位置好像都在变,为啥会这样 
|
|
|
电脑文件那么多,如何找出可疑的文件呢 
|
|
|
|
|
|
|
杀手killerho
,平时经常翻这些文件夹,所以我还真不知道如何教会别人看,自己会和教别人会毕竟还是两码事
