最近ctfnon.exe广告木马开始在网吧里出现,网吧均表示自己没有放过这些文件。ctfnon.exe是广告木马,其假冒输入法相关程序,输入法相关执行程序应该是ctfmon.exe。 细心的人发现是有不明人远程网吧把系统包挂载篡改了。 这个团伙挂载镜像,一般放了3个文件。
C:\Windows\SysWOW64\client.exe
C:\Windows\System32\client.exe
C:\Windows\System32\ctfnon.exe
然后通过regedit加载注册表添加了开机启动 C:\Windows\SysWOW64\client.exe
解决办法: 1,修改远程账号和密码,(开启远程日志记录,留意最近是否还有不明人可以远程上来。) 2 挂包删除以上3个文件, 去掉开机启动。
被远程的1家网维大师网吧使用的是VNC远程, 1家反馈使用的是XT800远程和RemotelyAnywhere,另外1家网吧反馈使用的是影子,系统都是死性不改16Q4版本。 远程工具尽量都使用新版本,不要使用默认端口,密码不要太简单,已经泄露的尽快修改一次账号和密码。目前我们猜测可能是某些远程工具漏洞,或者密码被人为泄露引起的。 有新的情况欢迎大家留言,相互分享信息。 |
