近日多地网吧反馈被入侵,中病毒后会创建一个STUPdater.exe的计划任务。目前各大无盘平台均有发现此次问题。
网吧中毒之后,服务器就会变成传说中的“肉鸡”接受远程指令。如果发现服务器有此问题,可以删除文件和相关服务,同时火绒杀毒可以预防拦截木马植入,如果有条件可以在服务器上安装一个火绒。提供一个清理批处理清理0623.zip, 解压后在服务器运行一次P处理即可清理这个病毒。
唯一的好消息是,不是所有的病毒都会丧心病狂的搞大破坏,总体来说此病毒暂时并没有进一步危害网吧的动作发生,而且很容易清理。
没多大事儿,没有必要恐慌。
如果中标了,清理掉病毒,关闭掉服务器的第三方远程,有其他设置密码的地方都修改密码设置复杂一些。然后喝喝茶看看鸟,静待水落石出。
如果没有中标,现在那孩子都成了惊弓之鸟,近期哪里还敢露头。你只用喝茶等高手抓他就行了。实在不放心,关闭第三方远程,有其他设置密码的地方都修改密码设置复杂一些。
如果有人想让你震惊,想让你恐慌,你要谨慎的看待此事,我们这些人类可比这个小病毒更可怕。
如下图,作者用的2台阿里云服务器从云端下发文件去网吧。wke.dll样本里并没有更多的内容,主要从作者的服务器里面才会下发真正的文件。
此刻,这2台服务器已经关闭,我们猜测作者已经吓的跑路了。
服务器IP分别是121.196.176.214 和 47.110.10.104
历史汇总信息:
从目前的反馈来看还没有完全确定病毒来源,有网吧发现有是有不法分子在网吧客户机上机后通过内网操作入侵了服务器,并且报警抓获了去网吧操作的人。
当前被抓的暂时都只是跑龙套的。都是病毒作者通过网络招募小弟去网吧操作。
如下图所示,其6月初就开始人肉跑网吧植入木马了。也是被网上的一个指挥者付费招募的,1家网吧100块钱,他并不认识对方。
结合现在能得知的消息来分析,网维大师可能是通过游戏效果入侵服务器,云更新和易乐游有可能是通过服务器上的第三方远程漏洞来控制服务器的。
无论是使用什么无盘软件 ,各无盘管理员权限的客户端密码一定要设置复杂点的密码。
同时也不排除有外网入侵的可能,也出现了没有开门营业的网吧同样发现了此病毒。
使用第三方静态密码的远程,如影子,3389等,建议修改成强密码,修改端口。 或者甚至直接停用。
也可以换用一些安全程度比较高的平台远程。他们一般内置的远程密码强度高,会动态变化。他们的账户异地登陆都需要手机短信验证。 比如维护大师、维护云、易乐维等远程维护平台。
另外,大家可以反记录以下2个信息,汇总后看看有哪些共同点
1、中标网吧服务器有安装有哪些第三方远程
2、这些网吧服务器还安装了其他什么软件
3、用的无盘软件客户端密码是不是设置的太简单了
中标的网吧也可以拨打110或本地网警报警。
