近期多地网吧反馈服务器疑似遭到入侵,会在C:\windows目录下生成病毒文件STUPdater.exe通过计划任务定时执行。 目前得到的分析结果如下 2. 病毒程序会创建计划任务Batch、appread服务等,达到可以控制网吧服务器的目的。 3. 目前分析到病毒程序尚未造成太大破坏,主要为预留后门和上报信息并下载可执行程序。 问题答疑 1. 怎么确定服务器中了这个病毒? 答:目前已知的远程控制木马服务名称为“FastUserSwitchingCompatibility”。 打开cmd,输入“sc query FastUserSwitchingCompatibility” 查询这个服务是否安装,如果显示“指定的服务未安装”,暂时可认为安全。 2. 病毒是怎么到服务器的? 答:从目前各方汇总的信息及日志分析来看,是有人在客户机上机破解无盘软件及系统,将文件上传到服务器,各大主流无盘软件均有中招。 3. 病毒程序有什么影响? 答:据分析,该病毒可秘密开放用于远程控制的端口权限,目前已知病毒会生成以下文件: 1) 在C:\windows路径下,生成了文件 STUPdater.exe; 2) 在C:\Program Files (x86)路径下,生成了文件夹 Mount 3) 病毒通过一台阿里云服务器(47.110.10.104)下发文件,大家可以在路由器禁止访问该IP。 4. 病毒程序怎么清除? 答:请大家使用我们提供的文件,执行以下程序清除病毒。 提取码: 52hw |
版权声明:本文为 “9527,天下网吧,网管9527,wg9527,马蹄更新,” 原创文章,转载请附上原文出处链接及本声明;
工作时间:0:00-23:59
客服电话
15077386197
电子邮件
haihu9527@vip.qq.com
扫码二维码
获取最新动态