发现了一个神奇的现象, 关于 win7 的

我在 hyper-v 里跑了一个 win7, 新装的, 原版 ios, 软件只有 Tim, 微信, QQ 输入法

不开任务管理器, 开资源监视器, cpu 过一会会稳定在 50%
打开任务管理器, cpu 瞬间降到 0% - 10%
尝试了几次, 屡试不爽
为啥呢...

codingKingKong

2018-11-20 18:41:24 +08:00

@jasonyang9
@cdwyd

应该是一个伪 windows search 的进程. 找到了输出的日志和配置, 是一个后门程序, 目前怀疑是使用的激活器注入的, 但不知道具体目的是什么.

codingKingKong

2018-11-20 18:45:10 +08:00

@crab 我找到了它的配置文件和输出日志.

maplerecall

2018-11-20 18:48:39 +08:00

听起来很像挖矿木马的行为……所以还是尽量避免使用各种奇奇怪怪的东西，包括来历不明的 PE、激活工具之类的

jhytxy

2018-11-20 18:51:58 +08:00

卧槽有意思了
那是怎么感染的呢

codingKingKong

2018-11-20 18:52:57 +08:00

@maplerecall 是一个叫做 DOULE PULSAR 的后门程序.

jhytxy

2018-11-20 18:53:23 +08:00

哦激活器啊
拜拜我走了...
就是怕这些玩意都是 kms 激活..

JiZhiDeboy

2018-11-20 19:00:14 +08:00

6 月份我新买的电脑 win10 也出现了这个问题
电脑放那不动任务管理器开着过一会 cpu 占用突然就涨起来了，然后我移动鼠标马上降下来了，为此我特意查了一下好像是系统的防休眠还是啥来着我记不清了，有兴趣的自己查一下。。。

codingKingKong

2018-11-20 22:39:33 +08:00

@JiZhiDeboy 我的是木马，已确认。

codingKingKong

2018-11-20 22:44:27 +08:00

@jasonyang9 感谢提供的支持，已确认是木马，通过 445 或 3389 传播，会伪装成系统进程访问境外 ip。

jasonyang9

2018-11-21 08:38:20 +08:00

@codingKingKong #49 可怕，还真是木马病毒。不干净的激活工具搞出来的？

codingKingKong

2018-11-21 10:14:30 +08:00

@jasonyang9 还不确认, 因为我把防火墙关了, 不知道是激活工具的原因还是局域网内有机器感染了, 传播给我的

cpdyj0

2018-11-27 22:00:38 +08:00

今天碰到一个，任务管理器显示是 win32 应用安装程序，检测到 taskmgr 就暂停，cmd 被自动关闭，CPU 狂飙感觉是某种挖矿程序

codingKingKong

2018-11-28 11:18:24 +08:00

@cpdyj0 我中的那个比较简陋, 直接输出了日志, 你可以 process explorer 抓一下它执行的命令, 去看看有没有可疑的可读文件

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.