STUPdater情况分析

 2020年06月23日  阅读 106  评论 0

摘要:近期多地网吧反馈服务器疑似遭到入侵,会在C:\windows目录下生成病毒文件STUPdater.exe通过计划任务定时执行。目前得到的分析结果如下1. 病毒程序会针对主流无盘软件(云更新、顺网、易乐游)进行注入破坏。2. 病毒程序会创建计划任务Batch、appread服务等,达到可以控制网吧服务器的目的。3. 目前分析到病毒程序尚未造成太大破坏,主要为预留后门和上报信息并下载可执行程序。问题答疑1. 怎么确定服务器中了这个病毒?答:目前已知的远程控制木马服务名称
近期多地网吧反馈服务器疑似遭到入侵,会在C:\windows目录下生成病毒文件STUPdater.exe通过计划任务定时执行。




目前得到的分析结果如下
1. 病毒程序会针对主流无盘软件(云更新、顺网、易乐游)进行注入破坏。
2. 病毒程序会创建计划任务Batch、appread服务等,达到可以控制网吧服务器的目的。
3. 目前分析到病毒程序尚未造成太大破坏,主要为预留后门和上报信息并下载可执行程序。

问题答疑
1. 怎么确定服务器中了这个病毒?
答:目前已知的远程控制木马服务名称为“FastUserSwitchingCompatibility”。
打开cmd,输入“sc query FastUserSwitchingCompatibility”
查询这个服务是否安装,如果显示“指定的服务未安装”,暂时可认为安全。

2. 病毒是怎么到服务器的?
答:从目前各方汇总的信息及日志分析来看,是有人在客户机上机破解无盘软件及系统,将文件上传到服务器,各大主流无盘软件均有中招。

3. 病毒程序有什么影响?
答:据分析,该病毒可秘密开放用于远程控制的端口权限,目前已知病毒会生成以下文件:
1) 在C:\windows路径下,生成了文件 STUPdater.exe;
2) 在C:\Program Files (x86)路径下,生成了文件夹 Mount
3) 病毒通过一台阿里云服务器(47.110.10.104)下发文件,大家可以在路由器禁止访问该IP。



4. 病毒程序怎么清除?
答:请大家使用我们提供的文件,执行以下程序清除病毒。
提取码: 52hw


版权声明:本文为 “网管9527” 原创文章,转载请附上原文出处链接及本声明;

原文链接:http://wg9527.com/?id=178

关于我们
专注网吧行业15年。。
常用下载
Steam常用
系统下载
我们的业务
配置菜单2
配置菜单2
扫码关注
联系方式
全国服务热线:15077386197
地址:
Email:haihu9527@vip.qq.com
邮编:
桂ICP备19005346号
桂ICP备19005346号