- N +

srv.sys蓝屏?系统可能出现重大漏洞,解决办法[高危预警]

原标题:srv.sys蓝屏?系统可能出现重大漏洞,解决办法[高危预警]

导读:

问题现象网吧内机器陆续蓝屏,且开机什么都不做都蓝屏。蓝屏dump以50、7E代码为多,dump信息几乎全部是srv.sys问题可能中了勒索病毒变种在局域网传播导致案例现象:客户...

问题现象

网吧内机器陆续蓝屏,且开机什么都不做都蓝屏。蓝屏dump以50、7E代码为多,dump信息几乎全部是srv.sys

QQ截图20170715165200.jpg

QQ截图20170715165211.jpg

问题可能

中了勒索病毒变种在局域网传播导致

案例

现象:客户机出现钓鱼窗口程序,英雄联盟登陆不上。

QQ截图20170715165228.jpg

排查过程:

1、从上图日志追踪中发现是由dllhost.exe创建出来的程序,dllhost是系统进程,当时怀疑是被注入了异常dll导致的创建。所以打算用ProcessMonitor抓下完整的启动过程(ProcessMonitor使用方法)

QQ截图20170715165251.jpg

2、使用ProcessMonitor抓到完整启动过程后终于抓到了罪魁祸首,程序名为d10g.exe程序,让我很诧异的是从启动时间上来分析d10g.exe启动的非常早,截图时候菜单、跟用户添加的开机启动的程序都还没出现。这里怀疑是那个服务有问题(相关案例),但是检查了服务也没发现异常。这里重点放在PID为884的程序上面。

QQ截图20170715165306.jpg

3、前面考虑到时间比较早,所以基本排除svchost被注入的可能了。只有从网络层入手看下,因为步骤1的过程中看到了很多9000端口拿文件的过程。从网络分析看到的是884从隔壁TF031号机器9000端口拿到了这个d10g.exe程序。

QQ截图20170715165322.jpg

4、查到这里的时候感觉很奇怪,系统的服务主进程为什么会做这种事。案例跟之前遇到的很像(相关案例),因为不知道木马的原理所以只有让用户先封掉9000端口临时处理下了。

处理方法

安全公告号地址:Microsoft 安全公告 MS17-010 - 严重 离线补丁包下载地址:下载链接 (安装补丁前请开启windows update服务,安装时候打开ProcessExplorer看下是否中马,如果已经中马则不要开超级选择人少时候安装,以上操作请在有技术人员在场情况下处理,网吧老板不要私自开超级安装。)

有好的文章希望我们帮助分享和推广,猛戳这里我要投稿

返回列表
上一篇:
下一篇:

发表评论中国互联网举报中心

快捷回复:

    评论列表 (已有4条评论,共38110人参与)参与讨论
    网友昵称:sword
    sword游客11个月前 (09-21)回复
    后来呢,情况怎么样?我也遇到了
    网友昵称:盛夏
    盛夏游客1年前 (2017-08-04)回复
    文章不错,写的很好!
    网友昵称:清晨
    清晨游客1年前 (2017-07-19)回复
    用的那款无盘能看dump
    网友昵称:Hy221
    Hy221管理员1年前 (2017-07-20)回复
    @ 清晨 图中的是网维大师