V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
xingchengo
V2EX  ›  问与答

Windows 10 Temp 目录出现奇怪的 *.tmp.exe 文件

  •  
  •   xingchengo · 2017-06-02 17:28:27 +08:00 · 9119 次点击
    这是一个创建于 2756 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近在任务管理器中发现了很奇怪的程序,*.tmp.exe 的进程,而且还是 SYSTEM 用户, 现在是每次开机都会自动在 C:\Windows\Temp\ 目录下面创建这些文件,并自动运行,防火墙也被关了。

    用腾讯的电脑管家扫描提示安全,但是用 360 杀毒扫描提示是木马。分析之后发现里面有一个 EXE 包含了很多加密模块的代码,吓得以为是勒索软件,但感觉又不像。但是用 360 全盘扫描也没发现其他的问题,把这些木马清除后,下次开机后又出现了,想知道这是什么,还有就是有什么好的解决方法吗?

    分析了一下,发现会自动连上一控制端的 IP,111.90.145.100:5555 做一个登录操作。用 ipip.net 查询后发现是马来西亚的 IP。

    传输的数据内容是这样的

    nmap 一下发现开了这些端口

    PORT     STATE    SERVICE
    21/tcp   open     ftp
    80/tcp   open     http
    139/tcp  filtered netbios-ssn
    445/tcp  filtered microsoft-ds
    3333/tcp open     dec-notes
    5555/tcp open     freeciv
    6667/tcp filtered irc
    6668/tcp filtered irc
    6669/tcp filtered irc
    7777/tcp open     cbt
    8888/tcp open     sun-answerbook
    

    访问一下页面

    http://111.90.145.100:3333/

    发现会返回这个

    mining server online
    

    看起来有点像比特币的挖矿服务端

    27 条回复    2017-06-03 06:23:50 +08:00
    xingchengo
        1
    xingchengo  
    OP
       2017-06-02 17:47:48 +08:00
    对了这些程序还会对 host 文件加上这些东西,全部是针对 avast 的

    ```
    127.0.0.1 gf.tools.avast.com
    127.0.0.1 pair.ff.avast.com
    127.0.0.1 ipm-provider.ff.avast.com
    127.0.0.1 ipm-provider.ff.avast.com
    127.0.0.1 ipm-provider.ff.avast.com
    127.0.0.1 id.avast.com
    127.0.0.1 v4618535.iavs9x.u.avast.com
    127.0.0.1 v4618535.ivps9x.u.avast.com
    127.0.0.1 v4618535.ivps9tiny.u.avast.com
    127.0.0.1 v4618535.vpsnitro.u.avast.com
    127.0.0.1 v4618535.vpsnitrotiny.u.avast.com
    127.0.0.1 v4618535.iavs5x.u.avast.com
    127.0.0.1 v7.stats.avast.com
    127.0.0.1 v7.stats.avast.com
    127.0.0.1 v7event.stats.avast.com
    127.0.0.1 sm00.avast.com
    127.0.0.1 submit5.avast.com
    127.0.0.1 geoip.avast.com
    ...
    ```
    acess
        2
    acess  
       2017-06-02 18:20:13 +08:00
    你需要重装系统了……
    有兴趣的话,上传 VirusTotal。Process Monitor 的 Boot Logging 也可以帮你监控系统启动过程。
    Process Monitor 直接勾选 Enable Boot Logging 可能会提示拒绝访问,你可以先保存一个 PML 文件,然后重启,再打开那个被保存的 PML 文件,这样 Process Monitor 就不会加载驱动,这个时候再勾选 Enable Boot Logging 就不会拒绝访问了。
    wevsty
        3
    wevsty  
       2017-06-02 18:23:36 +08:00
    这些是病毒无疑,如果不想折腾建议重装系统。
    如果想折腾试试,可以用 360 急救箱,强力模式进行扫描。
    littleylv
        4
    littleylv  
       2017-06-02 18:25:46 +08:00
    重装保平安(逃)
    des
        5
    des  
       2017-06-02 18:29:44 +08:00 via Android
    都 system 权限了,什么不能做?还是重装吧
    botman
        6
    botman  
       2017-06-02 18:38:09 +08:00 via Android   ❤️ 1
    它都屏蔽 avast 了 所以卸 360 装 avast 更新病毒库后开机扫描一下估计能干掉。
    acess
        7
    acess  
       2017-06-02 18:44:31 +08:00
    能看见进程,也许只是幸运,没碰到技术太变态的;也可能只是冰山一角……
    如果是进入内核运行的恶意代码,把自己完全藏起来是有可能的。远的不说,想想 DoublePulsar、暗云、谍影系列木马……
    SuperMild
        8
    SuperMild  
       2017-06-02 18:52:00 +08:00 via iPhone
    Dr.web 有免费的全盘查杀工具,可以去下载试试看
    gouchaoer
        9
    gouchaoer  
       2017-06-02 18:59:53 +08:00 via Android
    重点难道不是腾讯不报毒?
    slrey
        10
    slrey  
       2017-06-02 19:09:39 +08:00
    我最近倒是在 AppData\roaming 下发现了一堆乱七八糟字符的各种文件,有*.log 有没有后缀的,但都有腾讯的数字签名,说是什么电脑管家 dr.dll
    restran
        11
    restran  
       2017-06-02 19:25:53 +08:00
    @acess @SuperMild @botman 谢谢,我一开始看到这些文件的时候,还以为是 Windows 自动更新的文件,但是发现没有签名很奇怪,就用电脑管家扫描了一下,结果没提示有问题,但是不放心,又去 http://www.virscan.org/ 检测了一下,结果有些杀毒软件提示有木马,有些没有。我装了 Avast 开机扫描一遍,很奇怪的是,那个恶意的 *.tmp.exe 文件是由 rundll32.exe 创建的,而且我目前还没找到其他可疑的进程。

    virscan 的扫描报告在这里

    http://r.virscan.org/report/e1bbf062c1401fe5029a45dcd8cc2421
    http://r.virscan.org/report/ad5abc783458477f216129442c5655db
    http://r.virscan.org/report/bdd3b9e9385ce1071eb543af8296d2ff
    wevsty
        12
    wevsty  
       2017-06-02 19:30:01 +08:00
    @restran
    进程不说明一切,也有可能是由 rundll32.exe 加载的某个 DLL 形成的现象。
    有能力的话可以自己用 ARK 或者 Autoruns 分析一下启动项。
    最简单的还是 360 急救箱强力模式进行扫描,或者重装系统。
    acess
        13
    acess  
       2017-06-02 19:30:16 +08:00
    @restran 我试过用 DoublePulsar 这个内核后门跑 meterpreter 木马……
    用 Process Explorer 看,就是被注入的 lsass.exe 产生了 rundll32.exe,然后它又执行了 meterpreter ……
    排查启动项可以用 Autoruns。如果怎么找都找不到自启在哪,也许人家在内核里做了手脚,把自己藏起来了;或者,人家已经在你电脑上装了 Bootkit,完全拿下了内核控制权……
    acess
        14
    acess  
       2017-06-02 19:34:16 +08:00
    @wevsty 有一阵子流行暗云木马的变种,一开始我用 360 的急救箱都完全没用(联网了)。后来跟他们反馈了一下,过了一阵子(也不知道和我的反馈有没有关系),他们更新了,就可以杀了,但是急救箱界面上仍然没扫到任何东西。
    acess
        15
    acess  
       2017-06-02 19:37:35 +08:00
    @restran 不知道你有没有在用 UEFI+GPT ?
    如果没在用 UEFI+GPT,还是传统 BIOS+MBR 的话,建议你用 WinPE 启动,检查一下 MBR 和 PBR 代码是否正常。暗云木马就是在 MBR 里安家的(当然,一个扇区肯定装不下,在别的扇区有余下的部分)。系统启动时木马代码优先被执行,然后在内核里挂钩做手脚,有些 ARK 工具(比如 PCHunter )都被欺骗,查不到异常。
    wevsty
        16
    wevsty  
       2017-06-02 19:39:41 +08:00
    @acess R0 的对抗是永无止境的。360 急救箱的强力模式在大众情况下能解决多数的问题,包括很多 Rootkit,如果急救箱也解决不了,那么还是直接重装比较靠谱。
    acess
        17
    acess  
       2017-06-02 19:41:49 +08:00
    @restran rundll32.exe 又是哪来的呢?
    anoymoux
        18
    anoymoux  
       2017-06-02 19:56:14 +08:00
    为什么还有人迷信杀软,写一个病毒,第一件事就是如何免杀,如果能被主流杀软识别,那这个病毒还有什么意义呢..
    xingchengo
        19
    xingchengo  
    OP
       2017-06-02 20:19:04 +08:00
    @acess 我把 Windows 又开起来了,rundll32.exe 那个就是系统自己的,用了 Avast 开机扫描,目前是没发现有重新创建那些 *.tmp.exe 文件了,但是还是有些怕怕的,现在用 360 急救箱,在考虑要不要重装。
    acess
        20
    acess  
       2017-06-02 20:21:30 +08:00
    @xingchengo 这个文件当然是 Windows 自己的……但 rundll32 只是个“容器”,里面是啥都能跑啊。你用 Process Monitor 看了么?是哪个进程启动 rundll32 的?参数?
    xingchengo
        21
    xingchengo  
    OP
       2017-06-02 20:38:10 +08:00
    @acess svchost.exe,开机后 Avast 又把这个 C:\Program Files\SorarCharts\SorarCharts.dll 干掉了

    参数是这个

    c:\windows\system32\svchost.exe -k netsvcs -s Schedule
    C:\WINDOWS\system32\rundll32.exe "C:\Program Files\SorarCharts\SorarCharts.dll",DXGsOtns


    acess
        22
    acess  
       2017-06-02 20:49:37 +08:00
    @xingchengo 把这个 dll 传 VirusTotal 吧。
    acess
        23
    acess  
       2017-06-02 20:51:56 +08:00
    @xingchengo 再看看计划任务(比如用 Autoruns ),看上去是从计划任务自启的。
    xingchengo
        24
    xingchengo  
    OP
       2017-06-02 20:52:38 +08:00
    @acess 26 分钟前刚刚有人传上去分析,这个文件第一次被分析是在 2017-05-17 17:48:19 UTC.

    https://www.virustotal.com/zh-cn/file/6348e30db87507281b5666c1c64ae30c69d000bdaa178a922ce5af05ce99e47d/analysis/
    xingchengo
        25
    xingchengo  
    OP
       2017-06-02 21:02:29 +08:00
    @acess 计划任务里面确实有这条记录

    \SorarCharts C:\Program Files\SorarCharts\SorarCharts.dll
    acess
        26
    acess  
       2017-06-02 21:18:56 +08:00 via Android
    @xingchengo 应该是病毒无误,被叫做 Wdfload。网上已经能搜到分析了,行为差不多螚对上号。
    lm902
        27
    lm902  
       2017-06-03 06:23:50 +08:00 via Android
    这病毒开发者还是技术不过关啊 还往 tmp 里写代码
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1015 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 20:44 · PVG 04:44 · LAX 12:44 · JFK 15:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.