【警告】网吧服务器中了STupdater.exe的来源：警惕不法分子从内网入侵服务器！

近期我们接到了多家门店反馈被入侵的问题，经过分析以后,我们判断此次入侵是有不法分子通过多种渠道,对门店实施违法犯罪活动.目前有在QQ群,微信群中,有技术人员发现有不法分子通过线上招募的方式,安排不法人员前往门店使用客户机攻击服务器.

如有发现被入侵的用户,可以根据C盘STUPDATE.EXE所生成的时间,定位对应的上机人,并查询该用户的身份证举报至网警处,避免更多的门店受到损害.

如果你本地网警未受理,可以在http://www.cyberpolice.cn/wfjb/进行网络举报,最大限度震慑犯罪分子.

以下平台漏洞皆根据日志以及病毒文件样本推测所得结论，

并未获得原始入侵工具，

故有可能与真实情况有出入。。。

特此说明。

我怎么确定服务器中了这个木马？

1.目前已知的远程控制木马服务名称为“FastUserSwitchingCompatibility”，不排除后面会变化。
打开cmd，输入 sc query FastUserSwitchingCompatibility 查询这个服务是否安装，如果显示“指定的服务未安装”，暂时可认为安全。

2.搜索C盘下是否有STupdater.exe文件，一般在C:\Windows\或C:\Windows\syswow64或C:\Windows\system32下，如果有表示中招，还要检查服务器启动项.

3.在C:\Program Files (x86)路径下，生成了文件夹 Mount

4.据说今天服务名称已经变种，改变了，建议检查服务器开机启动项。

5.使用专杀工具检测。

目前我的网吧都没中招，昨天问询了大约十几个人这里的协议没卸载，我都是装好服务器就卸载的，仅供参考

据说Windows Server 2019不能卸载，将这一项的勾去掉即可。

云更新

云更新平台发现被入侵时，服务器的日志记录中发现客户端使用了爆破或破解VNC远程的方法连接至了服务器。

同时在服务器C盘windows目录下生成STUPDATE.EXE文件,注册服务等工作.

下图为STUPDATE.EXE释放时同一时间的服务器VNC日志

系统日志中有大量TVNCSERVER尝试登录的日志.

解决方案

我们建议将下图中的kvnserver64文件结束进程后,改名即可

顺网网维大师

通过检查发现网维大师是通过游戏效果上传进行注入的.不法分子通过在使用客户端上传游戏接口,伪造身份以及封包,将上传文件修改为以下路径

d:\网维大师\barserver\GameOpData\1592644237.rar\..\..\..\BarServer\TransferFilePatchEx.exe

的文件进行了溢出攻击。

所以出现问题的门店在GameOpData文件夹下会生成包含1592644237.rar类似的文件夹.

如下图

其中..\代表返回上一级目录

..\..\..\代表回到BarServer目录下,将目录下的TransferFilePatchEx.exe进行替,从而达到了溢出效果.

将目标文件替换为不法分子的TransferFilePatchEx.exe

替换后的文件还伪造顺网的签名,同时TransferFilePatch被修改了时间

服务器入侵结束后,在服务器C盘windows目录下生成STUPDATE.EXE文件,注册服务等工作.

入侵日志文件在此处下载

链接：https://pan.baidu.com/s/1yhHucL4uTh0Hs1FFIGwiPw

提取码：zsno

在log日志中可以看到上传的时间以及IP,可以轻松定位不法分子.

解决方案:

关于利用网维漏洞的处理方法
1、在BarServer目录下，将TransferFile.dll进行改名，改成TransferFile.dll.bak
2、在BarServer目录下，将TransferFilePatchEx.exe进行改名，改成TransferFilePatchEx.exe.bak
3、删除C:\Windows\STUPdater.exe
4、重启BarServer.exe

顺网公司已经开始推送安全补丁解决此次安全问题--2020.06.23下午18点

来自顺网官方。

易乐游

在易乐游平台中也发现C盘生成STUPDATE.EXE文件.但是由于现场没有被保存,我们只能通过日志来进行推测。根据LOG发现生成STUPDATE.EXE的时间,去查询当天关于STVNC的远程log日志,该日志非常大。

有可能和云更新一样,是通过破解或者是爆破VNC来达到侵入服务器端的目的.所以推荐在易乐游官方正式说明前,可以将以下服务进行关闭,来降低降低被入侵的可能性.近期被入侵的朋友可以尽快联系易乐游工作人员,这样可以在日志文件被清除前保留现场,从而进一步确定不肖分子所使用的方法.

解决方案

我们建议将以下远程服务在官方没有给明确解决方案之前,将此服务设置为停用状态.

安装杀毒的用户

安装火绒的用户因为杀毒软件的存在,木马被释放之后就被查杀了,所以达到了防御效果。

但是软件的漏洞还在，应尽快修补漏洞。

我们可以等待无盘厂商的专业人员对不法分子的客户端分析,

从而将已经安装的木马完全卸载掉.

可以下载由维护大师技术A制作的清除木马批处理,作为应急处理。

清理木马批处理内容代码：

@echo off
schtasks /Delete /TN Batch /F
taskkill /f /im STUPdater.exe
del /q /f C:\Windows\STUPdater.exe

taskkill /f /im AppRead.exe
rename C:\Windows\system32\AppRead.exe AppRead_d.exe
rename C:\Windows\SysWOW64\AppRead.exe AppRead_d.exe
sc stop AppRead
sc delete AppRead
del /q /f C:\Windows\system32\AppRead_d.exe
del /q /f C:\Windows\SysWOW64\AppRead_d.exe

sc stop FastUserSwitchingCompatibility
sc delete FastUserSwitchingCompatibility
del /q /f C:\Windows\system32\FastUserSwitchingCompatibilitystx.dll
del /q /f C:\Windows\SysWOW64\FastUserSwitchingCompatibilitystx.dll

sc stop wercplsupport
sc delete wercplsupport
del /q /f C:\Windows\system32\mswercplsupport.dll
del /q /f C:\Windows\SysWOW64\mswercplsupport.dll

taskkill /f /im Mount.exe
rd /s /q "C:\Program Files (x86)\Mount"
rd /s /q "C:\Windows\TEMP\updater_temp_STVNCServer"

echo 本bat由多个环境汇总而来，能一键清理STUPdater以及相关木马服务。原版系统或Server2019建议以管理员权限运行。
echo.
echo By 维护大师技术A (Bluefish) 2020-06-22
echo.
echo 清理完成。
::pause

请注意(上传溢出的文件以及木马升级后可能生成的其他文件,

此批处理并未处理)

如果可以，猛烈猛烈建议重做服务器！！！

结语

可以看到此次入侵是对网吧行业非常了解的不法人员所为.

同时我们看到众多维护以及开发人员为了解决该问题加班加点,

在这里诸葛平台为门店奔波的您点赞.

目前已经有多个城市已经准确拿到线下不法分子的准确信息,并报告至网警.

结果如何我们拭目以待.

特别感谢运维人员黄海峰，小网虫提供环境以及下面文章的撰写者

xiaocao提供珍贵的现场数据

本文转自诸葛平台公众号：https://mp.weixin.qq.com/s/JvdcCCdIZoe0WQL_IG3j3g