A-A+

【警告】2020年6月22日起,很多家网吧服务器被STupdater.exe不明文件入侵。

2020年06月22日 问题知识 暂无评论 阅读 2,197 次

自6月22日凌晨开始,有同行在行业群内发言。在服务器内发现异常文件,当时以为只是个例。就没仔细看,今日下午发现各大微信、QQ行业群内都在说这个东西。因此收集了一波图片,也自查了我司维护的门店。暂未发现各位同行所说的文件,现发出警示,如果你们发现了,请在下面留言你们的服务器环境和安装的软件,或参加顺网的调查

我怎么确定服务器中了这个木马?
1.目前已知的远程控制木马服务名称为“FastUserSwitchingCompatibility”,不排除后面会变化。
打开cmd,输入 sc query FastUserSwitchingCompatibility 查询这个服务是否安装,如果显示“指定的服务未安装”,暂时可认为安全。

2.搜索C盘下是否有STupdater.exe文件,一般在C:\Windows\或C:\Windows\syswow64或C:\Windows\system32下,如果有表示中招,还要检查服务器启动项.

3.在C:\Program Files (x86)路径下,生成了文件夹 Mount

4.据说今天服务名称已经变种,改变了,建议检查服务器开机启动项。

5.使用专杀工具检测

ScreenShot2020-06-22-1

ScreenShot2020-06-22-2

ScreenShot2020-06-22-3

ScreenShot2020-06-22-4

ScreenShot2020-06-22-5

ScreenShot2020-06-22-6

ScreenShot2020-06-22-7

ScreenShot2020-06-22-8

病毒写了 shunwang 这字体,只是让顺网背黑锅,目前几乎所有无盘环境都有,和顺网无关

同时,在此呼吁大家:请勿主动将你的远程端口映射在公网上,建议使用维护大师等穿透远程方案。并开启账号安全验证!

更进一步请阅读:

【警告】网吧服务器中了STupdater.exe的来源:警惕不法分子从内网入侵服务器!

转自:https://mp.weixin.qq.com/s/vbOlblnS4oCdXZDKdX-OSQ

落英缤纷技术交流群

给我留言

Copyright © 落英缤纷 保留所有权利 · 基于 WordPress   联系站长 落英缤纷技术交流群 托管于腾讯云 冀ICP备12002422号-3

用户登录