二手易

 找回密码
 免费注册

手机号码,快捷登录

查看: 11|回复: 0

[资讯] STUPdater情况分析

[复制链接]

240

主题

297

帖子

1017

积分

赞助会员

UID
303
金币
0
威望
0
贡献
811
宣传
0
买家
0
卖家
0
注册时间
2017-6-22
最后登录
2022-11-22

资讯达人勋章富贵吧帅哥勋章赞助会员勋章拍卖狂勋章

发表于 2022-11-22 12:13 | 显示全部楼层 |阅读模式

近期多地网吧反馈服务器疑似遭到入侵,会在C:\windows目录下生成病毒文件STUPdater.exe通过计划任务定时执行。

STUPdater情况分析-1.jpg

我方对此高度重视并立即组织人员进行了问题分析与跟踪。

目前得到的分析结果如下

1. 病毒程序会针对主流无盘软件(云更新、顺网、易乐游)进行注入破坏。

2. 病毒程序会创建计划任务Batch、appread服务等,达到可以控制网吧服务器的目的。

3. 目前分析到病毒程序尚未造成太大破坏,主要为预留后门和上报信息并下载可执行程序。

问题答疑

1. 怎么确定服务器中了这个病毒?

答:目前已知的远程控制木马服务名称为“

FastUserSwitchingCompatibility”。

打开cmd,输入“sc query

FastUserSwitchingCompatibility”

查询这个服务是否安装,如果显示“指定的服务未安装”,暂时可认为安全。

2. 病毒是怎么到服务器的?

答:从目前各方汇总的信息及日志分析来看,是有人在客户机上机破解无盘软件及系统,将文件上传到服务器,各大主流无盘软件均有中招。

3. 病毒程序有什么影响?

答:据分析,该病毒可秘密开放用于远程控制的端口权限,目前已知病毒会生成以下文件:

1) 在C:\windows路径下,生成了文件 STUPdater.exe;

2) 在C:\Program Files (x86)路径下,生成了文件夹 Mount

3) 病毒通过一台阿里云服务器(47.110.10.104)下发文件,大家可以在路由器禁止访问该IP。

STUPdater情况分析-2.jpg

4. 病毒程序怎么清除?

答:请大家使用我们提供的文件,执行以下程序清除病毒。

文件获取链接:

https://pan.baidu.com/s/1PtQZWxoA9sgYoK8yPqHhkg

提取码: u6ok




上一篇:DNF:初现带光剑的狂战士,为了这把光剑,玩家十年间不敢换武器
下一篇:DNF:玩家给新角色取了这个名字后,每天都有邮件收,金币收到吐
您需要登录后才可以回帖 登录 | 免费注册

本版积分规则

手机版|小黑屋|二手交易平台 ( 鄂ICP备2022007787号-2 )

GMT+8, 2022-12-2 17:20 , Processed in 0.333303 second(s), 43 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表