BLDBaseService可疑日志分析和处理方法

BLDBaseService可疑日志分析和处理方法


可疑日志

可疑日志

近期日志中心收到大量指向gsie.cn疑似后门的请求

访问api.gsie.cn

访问可疑链接

访问可疑链接

尝试访问该网站,和日志中出现的几个链接


溯源

搜索引擎查找

通过搜索找到一篇出现过类似请求的分析报告,该文件hash:236b9402929efc3d107af8f1993069180ea76672863a6da8f61c3387fbb0dc84

文件hash搜索结果

报告中出现了BLDService

仔细查看分析报告找到了关于BLDBaseService的字符串,而我们找到这篇报告的url中的目录也有bldservice,于是对该字符串详细搜索

BLDBaseService详细信息

BLDBaseService是一个BlueBox推广联盟的软件(一个装机推广联盟)

BlueBox.exe

查找还能下载到的BlueBox的安装包

文件hash:e1c4e26e745cf412ccd5b6910df004f17da99713e0023a7e451aa55c33ef9407


解决办法

C:\Program Files

进入C:\Program Files\,找到BLDBaseServiceBlueBox目录

卸载选项(注意!这里需要选“否”)

运行uninst.exe,然后选择!(注意!这里选择


参考链接