Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou

2020-04-12 17:22:16 +08:00
 hhacker

每过 1 分钟的样子,Chrome 就会发送一个 DNS 请求,同时请求:

  1. www.baidu.com
  2. www.2345.com
  3. www.hao123.com
  4. www.sogou.com

Chrome 版本号为 81.0.4044.92 Chrome 的这个操作是正常的吗?仔细检查了一下电脑,应该是没有中流氓软件 /病毒的。

https://i.imgur.com/PUhGY8B.png

15025 次点击
所在节点    Google
108 条回复
hhacker
2020-04-13 15:42:18 +08:00
@jerrytom0007 这个我也遇到了,但奇怪的是,ie 或 edge 跳转的初始链接是在 go.microsoft.com 下,网上搜了下跳转后的小尾巴,发现很久以前就有了,有人说是百度给了微软钱?真是没能理解,微软要跳也应该是自家的必应啊。
有种可能性是 go.microsoft.com 被外部利用了
hhacker
2020-04-13 15:43:28 +08:00
已经切到 Windows 的安全模式下调试了,有进展马上更新到帖子里
est
2020-04-13 15:46:00 +08:00
@hhacker

从你的描述来看,估计是 dll 注入啊。你用 Process Explorer 看看是不是外挂了什么奇怪的 dll 到 chrome.exe 进程里去。。
jerrytom0007
2020-04-13 15:47:11 +08:00
@hhacker 我的卸载后已经彻底解决。至于原理,我是外行,真的不懂。
fonlan
2020-04-13 15:50:04 +08:00
装个 cFosSpeed 监控下连接试试?他能看到当前活动的 TCP 和 UDP 连接以及对应的程序和端口。
hhacker
2020-04-13 15:50:39 +08:00
@est 应该不是注入到 chrome.exe 了,而是其它什么进程
安全模式无法重现这些奇怪的 DNS 请求,确认是中招了
xmt328
2020-04-13 15:54:13 +08:00
赶上了直播查问题
hhacker
2020-04-13 15:59:31 +08:00
@fonlan 我试试这个,排除法太难做了
nnnToTnnn
2020-04-13 16:06:26 +08:00
可以用 glasswire 来分析以下到底是哪个进程。
Sekai
2020-04-13 16:15:46 +08:00
是不是 win10 自带的那些小程序……
V4Exp
2020-04-13 16:17:09 +08:00
Wireshark 抓包,看 DNS 请求源端口。
然后在命令行运行 netstat -anop udp 看本地监听 UDP 端口的进程列表,对比确定发送 DNS 请求的进程。
cydian
2020-04-13 16:20:20 +08:00
跟进。
yujiang
2020-04-13 16:20:42 +08:00
我的 chrome 也有一些奇怪的请求...看描述跟我原来挺相似的,后来直接重装好了
hhacker
2020-04-13 16:31:56 +08:00
@V4Exp 用 procmon 能看到 dns 请求,但是是 windows 服务 dnscache 发出的。。。。
wwbfred
2020-04-13 16:51:46 +08:00
要是系统组件的 dll 被挂了钩子了这种情况太难找了.
先检查检查进程命令行和服务吧,看看有没有什么可疑的.
ChangeTheWorld
2020-04-13 17:25:41 +08:00
微软的 Background Intelligent Transfer Service 被利用?
systemcall
2020-04-13 21:14:41 +08:00
怀疑是 bootkit,现在的广告投放技术越来越先进了。
如果没有特殊需求,不要关闭安全启动,一定要用微软官方的工具装,不要用 PE 安系统。
在 OS 的 bootloader 之前加载了 bootkit 的话,系统里面是看不出来的。不清楚是不是 bootkit 导致的系统启动出现问题。
azhi2007
2020-04-14 03:23:16 +08:00
等真相
hhacker
2020-04-14 08:23:44 +08:00
对不住支招的各位,目前的这个异常访问的情况超出我的处理能力了,无力反抗
hhacker
2020-04-14 08:38:26 +08:00
最后补充一个信息
在网关层面监控了流量,也没有访问到 2345 等网站
真真正正只是 DNS 请求而已,绕过 hosts 向系统设置的主 DNS/副 DNS 发起的请求,我只能以阿 Q 精神结束此事:
这是 ThinkPad OEM win10 的附带隐藏“福利”
(没错!我一台新机器,这锅你就得背!)

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/661712

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX