Windows:未知程序/服务等发送HTTP请求下载文件;我怎样才能找到该请求的来源?

信息安全 视窗 恶意软件 http
2021-08-15 05:17:21

我公司的防火墙检测到并阻止了来自 PC 的重复(每 15 分钟)HTTP 请求,该请求试图从主机开始下载名为 ..._chrome_installer.exe(左右)的文件:

http://r9---sn-4g57kner.gvt1.com

该 PC 上未安装 Chrome。也没有启动任何可疑的进程、服务或任务。我检查了计划任务、注册表(Run、RunOnce 等)、msconfig 和引导脚本:没有任何可疑之处。使用 Microsoft 消息分析器,我找出了相同的 PID 和进程名。PID 导致 svchost.exe (netsvcs)。所以我的问题是,如何在 svchost 后面继续,或者如何找到该请求的来源?(如果可能的话)。我使用 Windows 7。

3个回答

我找到了原点。两个答案都给了我继续下去的正确迹象。使用 ProcessExplorer,我选择了正确的 svchost 进程(相同的 PID)并打开 TCP/IP 选项卡,使用wireshark 我等待请求,当它发送时,来自 ProcessExplorer 的 TCP/IP 选项卡向我显示了试图建立的服务一个连接:BITS Service(后台智能传输服务)。我打开了 cmd 并使用

BITSAdmin /List [/allusers] [/verbose]

我列出了所有工作。这就是问题的症结所在。全部来自 google-update 的工作。为每个作业列出的文件指向一个不存在的 google-update.exe。所以我认为第一个答案可能是正确的,这不是病毒。我不知道为什么有 9 个 google-update 工作,没有别的。我都删了。从那时起,请求就消失了。

似乎“gvt1.com”归谷歌所有(whois 显示:)

Registrant Name: DNS Admin
Registrant Organization: Google Inc.
Registrant Street: 1600 Amphitheatre Parkway
Registrant City: Mountain View
Registrant State/Province: CA
Registrant Postal Code: 94043
Registrant Country: US
Registrant Phone: +1.6506234000
Registrant Phone Ext: 
Registrant Fax: +1.6506188571
Registrant Fax Ext: 
Registrant Email: dns-admin@google.com

并检查该特定域(r9---sn-4g57kner.gvt1.com)的位置指向旧金山附近(匹配)。

进一步检查,它显示了“gvt1.com”和“googlevideo.com”(例如:https ://github.com/lennylxx/ipv6-hosts/wiki/YouTube )和铬之间的关系,例如:https:// code.google.com/p/chromium/issues/detail?id=423590

谷歌网站检查: http: //google.com/safebrowsing/diagnostic ?site=gvt1.com/

我几乎可以肯定它不是病毒,而是与 Google 服务有关的东西。(在 google 中查找“gvt1.com”,您会发现更多链接)

转到 sysinternals 并安装跟踪工具记录 20m 的活动并找到该请求。然后回到那个请求的源头。