A-A+
【警告】2020年6月22日起,很多家网吧服务器被STupdater.exe不明文件入侵。
自6月22日凌晨开始,有同行在行业群内发言。在服务器内发现异常文件,当时以为只是个例。就没仔细看,今日下午发现各大微信、QQ行业群内都在说这个东西。因此收集了一波图片,也自查了我司维护的门店。暂未发现各位同行所说的文件,现发出警示,如果你们发现了,请在下面留言你们的服务器环境和安装的软件,或参加顺网的调查。
我怎么确定服务器中了这个木马?
1.目前已知的远程控制木马服务名称为“FastUserSwitchingCompatibility”,不排除后面会变化。
打开cmd,输入 sc query FastUserSwitchingCompatibility 查询这个服务是否安装,如果显示“指定的服务未安装”,暂时可认为安全。
2.搜索C盘下是否有STupdater.exe文件,一般在C:\Windows\或C:\Windows\syswow64或C:\Windows\system32下,如果有表示中招,还要检查服务器启动项.
3.在C:\Program Files (x86)路径下,生成了文件夹 Mount
4.据说今天服务名称已经变种,改变了,建议检查服务器开机启动项。
5.使用专杀工具检测。
病毒写了 shunwang 这字体,但目前几乎所有无盘环境都有。
同时,在此呼吁大家:请勿主动将你的远程端口映射在公网上,建议使用维护大师等穿透远程方案。并开启账号安全验证!
更进一步请阅读:
【警告】网吧服务器中了STupdater.exe的来源:警惕不法分子从内网入侵服务器!
转自:https://mp.weixin.qq.com/s/vbOlblnS4oCdXZDKdX-OSQ