近期发现网吧客户机随机出现登陆wegame时会提示有木马的问题,今天说的只是其中一个原因,因为发现非以下环境也有人反馈,只是还没有远程看过的,因为要先找到有这样问题的机器,然后找到病毒,然后部署PM工具抓怎么来的。
- 发现问题
先说下现象吧,开机登陆wegame就随机会出现如下图的情况,然后这个机器重启下就又正常了。
- 分析问题
昨天,也就是6月4日,QQ用户“俺们划船不用桨”给我找到了现象的机器,本来我是想给wegame的人远程看的,可是没有回我消息,毕竟找到这样的环境也是不容易的,平常都是重启掉的了。我远程后输入完账号,到输入密码的地方就会提示木马了,鼠标放到输入地方就会提示。
这个时候我也没什么思路,就问了我们公司牛人,也就是打狗英雄,我们都叫他老蒋。他让我下个腾讯的PC管家看看,结果真的查出来有木马,tgpcc.dll这个文件。
有这个木马的时候,键盘鼠标就好像不受控制的了,想去把这个木马改名字,操作不了,只选这个木马杀了就可以了,鼠标键盘也可以正常操作的了。
我把这个木马传过来,在我内部的机器上,同样的目录下C:\Users\Administrator\AppData\Roaming里,然后打开wegame就一样提示木马了。
既然找到了木马,那么就要查这个木马是怎么来的了,这个用户还是非常的配合,这里要表扬下,让他客户机上部署了PM工具,需要是开机就启动的。这里提供个维护大师技术A制作的“PM挂盘部署”工具,可以达到最优先启动,操作很简单按里面的说明就可以了。
下载地址:
部署好后,然后就在反复测试,开机就去登入wegame,看看有没有提示木马的,因为要有这样的才可以分析PM日志,开了30-40台机器没有出现,我让他耐心点,终于功夫不负有心人,出现了这样的机器,抓到了PM日志,首先查找tgpcc.dll名字,查到了他的PID是6788,然后点进程树:
- 解决问题
这个cnxx.exe是文化的,估计是有什么漏洞被病毒利用了,问用户说这个是最新的版本的,也不是破解版的。
具体原因不清楚,为了进一步验证,昨天下午5点多的时候先取消了此软件的运行,到现在没有出现这样的问题。
目前来说,其他用户没有这个软件的也出现这样的问题,具体原因还不清楚,我的意思是也需要这样的去排查下。
去年我也遇到类似被漏洞利用造成有盗号的情况:万象广告IE漏洞被利用释放盗号病毒的解决过程
6月26日更新:有的环境没有文化软件也发生同样的情况,经过几天的测试最后定位在QQ网关程序,取消QQ网关客户端就正常了。看来是腾讯自己误报造成的,只有等待官方更新解决。
7月20日更新:发现打开CF登陆框时,再打开C盘任何文件,鼠标移动到登陆框的密码处,立即会提示出现木马,这大概率就是腾讯的BUG了,听说更新到QQ网关最新版客户端可以解决,大家可以尝试一下。
8月30日更新:近几天又好多人出现该情况,有人反应:不要安装最新版本的显卡驱动,换低一些版本就解决了,也有人反应:把QQ网关程序放到开机启动项最前面,让它最优先启动解决了,还有人反应:删除QQ网关客户端,重新部署就解决了。当然这些都是存在误报的情况下才用以上方法,而有的环境是确实存在服务器被入侵造成木马感染的情况,这还需要进一步排查。
- 9月23日更新最终解决方法:
目前提示待wegame版本更新后即可修复(预计9月底),提示触发原因与QQ网吧无关,在wegame尚未更新的情况下,出现木马提示的网吧可以优先替换文件后解决问题。
临时解决方法:替换文件后可修复 下载地址:已失效
- 替换步骤:
1.把fszwd.dat文件复制到网吧服务器 wegame\tenprotect\ 目录下
2.替换前记得将原来的文件备份
