网吧服务器病毒STUPdater情况分析

haihu9527

近期多地网吧反馈服务器疑似遭到入侵，会在C:\windows目录下生成病毒文件STUPdater.exe通过计划任务定时执行。

目前得到的分析结果如下

1. 病毒程序会针对主流无盘软件(云更新、顺网、易乐游)进行注入破坏。

2. 病毒程序会创建计划任务Batch、appread服务等，达到可以控制网吧服务器的目的。

3. 目前分析到病毒程序尚未造成太大破坏，主要为预留后门和上报信息并下载可执行程序。

问题答疑

1. 怎么确定服务器中了这个病毒？

答：目前已知的远程控制木马服务名称为“FastUserSwitchingCompatibility”。

打开cmd，输入“sc query FastUserSwitchingCompatibility”

查询这个服务是否安装，如果显示“指定的服务未安装”，暂时可认为安全。

2. 病毒是怎么到服务器的？

答：从目前各方汇总的信息及日志分析来看，是有人在客户机上机破解无盘软件及系统，将文件上传到服务器，各大主流无盘软件均有中招。

3. 病毒程序有什么影响？

答：据分析，该病毒可秘密开放用于远程控制的端口权限，目前已知病毒会生成以下文件：

1) 在C:\windows路径下，生成了文件 STUPdater.exe；

2) 在C:\Program Files (x86)路径下，生成了文件夹 Mount

3) 病毒通过一台阿里云服务器(47.110.10.104)下发文件，大家可以在路由器禁止访问该IP。

4. 病毒程序怎么清除？

答：请大家使用我们提供的文件，执行以下程序清除病毒。

文件获取链接：https://pan.baidu.com/s/117pvhSpihkq3nY1gi0w0yg

提取码: 52hw