网维大师环境STUPdater病毒清除方案

2020年6月23日16:34:44 发表评论 21
摘要

6月22日凌晨起,相继有维护人员反映网吧服务器疑似遭到入侵,并在c:\windows目录下生成了病毒文件STUPdater.exe。

一、文件由顺网下发?这锅我们不接

在22日当天,我们相继收到了多条质疑,怀疑是顺网下发了病毒文件。缘由是病毒文件的描述被编辑为了“shunwang”:
网维大师环境STUPdater病毒清除方案
但该描述仅是可任意编辑的内容。以维护云为例,顺网产品的描述是这样的:
网维大师环境STUPdater病毒清除方案
另:22日当天在接收到维护人员反馈后,我们立即组织人员进行了问题跟踪。很快发现病毒文件不仅出现在顺网环境下,在其他无盘平台也皆有出现。

二、病毒程序有什么影响?如何判定我的网吧中招了?

据分析,该病毒为gh0st类型木马。该类型木马可秘密开放用于远程控制的端口权限,或主动连接攻击者的控制端。目前已知病毒会生成以下文件:

1)在c:\windows路径下,生成了文件 STUPdater.exe
网维大师环境STUPdater病毒清除方案
2)在C:\Program Files (x86)路径下,生成了文件夹 Mount
3)在cmd命令中,输入 sc query FastUserSwitchingCompatibility 查询病毒服务是否安装。如果显示“指定的服务未安装”,暂时可认为安全。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: