【警告】2020年6月22日起，很多家网吧服务器被STupdater.exe不明文件入侵。

自6月22日凌晨开始，有同行在行业群内发言。在服务器内发现异常文件，当时以为只是个例。就没仔细看，今日下午发现各大微信、QQ行业群内都在说这个东西。因此收集了一波图片，也自查了我司维护的门店。暂未发现各位同行所说的文件，现发出警示，如果你们发现了，请在下面留言你们的服务器环境和安装的软件，或参加顺网的调查。

我怎么确定服务器中了这个木马？
1.目前已知的远程控制木马服务名称为“FastUserSwitchingCompatibility”，不排除后面会变化。
打开cmd，输入 sc query FastUserSwitchingCompatibility 查询这个服务是否安装，如果显示“指定的服务未安装”，暂时可认为安全。

2.搜索C盘下是否有STupdater.exe文件，一般在C:\Windows\或C:\Windows\syswow64或C:\Windows\system32下，如果有表示中招，还要检查服务器启动项.

3.在C:\Program Files (x86)路径下，生成了文件夹 Mount

4.据说今天服务名称已经变种，改变了，建议检查服务器开机启动项。

5.使用专杀工具检测。

病毒写了 shunwang 这字体，但目前几乎所有无盘环境都有。

同时，在此呼吁大家：请勿主动将你的远程端口映射在公网上，建议使用维护大师等穿透远程方案。并开启账号安全验证！

更进一步请阅读：

【警告】网吧服务器中了STupdater.exe的来源：警惕不法分子从内网入侵服务器！

转自：https://mp.weixin.qq.com/s/vbOlblnS4oCdXZDKdX-OSQ