最新消息:本站分享的系统软件等仅作技术测试之用,只可用于个人研究,切勿用于商业用途,下载后需在24小时之内删除,版权归其官方所有。如想长期使用请向官方购买版权;假如因用户未购买正版版权而导致版权纠纷,本站概不负责。

一键清理STUPdater以及相关木马服务、相关问题解答

技术软文 13635781444 20浏览

BAT文件下载地址http://www.clxp.net.cn/thread-19214-1-1.html

本bat由多个环境汇总而来,能一键清理STUPdater以及相关木马服务,不需要重启,不需要重装系统。原版系统或Server2019如果手动运行,建议以管理员权限运行。文末提供了一键下发到所有服务器执行的方法。

1、我怎么确定服务器中了这个木马?
目前已知的远程控制木马服务名称为“FastUserSwitchingCompatibility”,不排除后面会变化。
打开cmd,输入 sc query FastUserSwitchingCompatibility 查询这个服务是否安装,如果显示“指定的服务未安装”,暂时可认为安全。

2、木马是怎么到服务器的?
从目前各方汇总的信息及日志分析来看,可能是有人在客户机上机,通过无盘软件自带的游戏效果上传的文件路径解析漏洞(绕过或模拟认证),将本该上传到服务器”barserver\GameOpData\”文件夹下的rar后缀的木马文件替换到”BarServer\TransferFilePatchEx.exe”,当再次发起上传时,这个被替换的木马会自动被调起运行执行下载安装,安装木马完毕后再次利用同样的方法把文件恢复为带数字签名的官方文件。或者利用VNC远程爆破(可能是tightVNC的低版本)将后门文件传输到服务器运行。如果漏洞未封堵,那么清理后仍然可能重新被植入,就算做了假体免疫,入侵者可能只需要修改对应的文件位置或名称即可绕过,例如可以替换为系统的粘滞键文件“C:\Windows\System32\sethc.exe”,用mstsc连上去按5下shift键,木马就运行了。

3、中了这个木马后会怎么样?
目前植入的木马为gh0st木马,中了后服务器就变成所谓的“肉鸡”。gh0st是一个全能的远程控制软件,对方可以随时远程控制服务器、传输文件、批量下发执行文件或命令、或者利用这些中木马的肉鸡对指定地址进行DDoS攻击。沙发提供了木马样本。

4、我用火绒能杀干净吗?如何预防?
已知最新版火绒无法清除这个木马服务,但是安装了火绒的服务器可以有效拦截木马的植入,建议在无盘服务器安装一个,创建假体可能无法完全预防这个问题。

5、客户机需要做什么处理吗?
目前远程了一些网吧没发现在客户机镜像或开机命令做了手脚,但还是建议排查一下镜像还原点、无盘开机命令、各种第三方软件的开机通道。

使用维护大师三层任务一键下发执行bat教程:
登录WEB端,主账号和子账号都可以;
找到三层任务模块,新建服务器任务,上传文件,选择下载的BAT文件上传,输入任务名称,选择下载后执行一次,确定后完成新建任务;
点击“关联网吧”按钮,选择所有服务器,确定后将自动下发执行bat.

转载请注明:网管老李-易维电脑 » 一键清理STUPdater以及相关木马服务、相关问题解答