STUPdater.exe 入侵信息汇总与解决办法 VER1.1

  2020年06月23日  深蓝  13364 阅读  10 评论

一,特别感谢 xiaocao(鲁迅说) 研究几天,彻底研究出病毒源头,并大胆假设,小心求证,研究公开病毒是通过人肉上网,付费接任务等方式,去网吧运行入侵软件,入侵网吧针盘系统。目前波及,主流无盘服务器。(当然,这可能不一定是唯一的方式。)

详细地址:https://mp.weixin.qq.com/s/vbDm_Cub4cHdPY8HW_Ickg 

 xiaocao(鲁迅说)  在文章发布后,就算这篇文章有大量翔实的证据, 亲自反汇编资料的情况下,依然有各种嘲讽和漫骂。最终  xiaocao(鲁迅说) 同学坚持实事求是,顶住了压力公布了真相,目前各大无盘厂商已经在修复相应的漏洞。而后大量用户也通过,视频监控,上机时间,文件入侵时间等证实了,“病毒是通过人肉去网吧内网上网入侵”的惊人判断是正确的。(虽然这个判断第一次听说时,确实匪夷所思。)

要不是xiaocao(鲁迅说)同学这么快找出真相,网吧行业的同行,昨晚可能很多人都睡不好觉了。无盘厂商也不可能那么快的修复漏洞。

突然明白了为什么网吧行业,愿意免费共享技术,免费共享好软件的朋友越来越少,因为他们很多人的心可能早都被一些罔顾事实,信口开河,出口成脏的人伤透了。

QQ截图20200623173129.jpg

QQ截图20200623173204.jpg

QQ截图20200623173244.jpg

QQ截图20200623173337.jpg

QQ截图20200623173411.jpg

二,网维大师提供的漏洞处理方法:

1、在BarServer目录下,将TransferFile.dll进行改名,改成TransferFile.dll.bak

2、在BarServer目录下,将TransferFilePatchEx.exe进行改名,改成TransferFilePatchEx.exe.bak

3、删除C:\Windows\STUPdater.exe

4、重启BarServer.exe

后续等待网维大师无盘的升级,彻底解决此问题。感谢 SVIP会员 cls-83@qq.com(520108006) 提供。

三,已经中毒的服务器一键清理。

RD C:\Windows\TEMP\updater_temp_STVNCServer\1.0.0.2\ /S /Q
RD C:\Windows\Temp\Mount /S /Q
RD C:\Windows\Temp\updater_temp_STVNCServer /S /Q
RD "C:\Program Files (x86)\Mount" /S /Q
del C:\Windows\Temp\ /Q
del C:\Windows\UpdaterLogForSTVNCServer.txt
del C:\Windows\STUPdater.exe
Net Stop FastUserSwitchingCompatibility
SC delete FastUserSwitchingCompatibility
schtasks /delete /TN  Batch /F

感谢群友:三毛 提供

四,目前多出的文件,云更新下面, 感谢深蓝软件群友 空白 提供

C:\Windows\syswow64\AppRead.exe
C:\Windows\STUPdater.exe
D:\lwserver\count.dat
D:\lwserver\uninst0.dat
C:\Program Files(x86)\Mount\Mount.exe
C:\Program Files(x86)\Mount\zlib1.dll

QQ截图20200623151617.jpg

云更新官方给出的临时解决方案:https://mp.weixin.qq.com/s?01060&idx=1&sn=a

五,客户端入侵文件MD5

感谢xiaocao 同学再次公布,现在网吧入侵的客户机文件MD5

5F8CF815C1BF948E8A4239204C81C78E

现在大家暂时在网吧客户机屏蔽此MD5文件,可以暂时防止这一波的入侵。

QQ截图20200623174221.jpg

 

六,进展

各大无盘已经在研究和升级程序,以实现从源头上防止攻击的目。

QQ截图20200623174952.jpg

本次中毒的无盘环境统计:本数据由深蓝软件群友投票购买成,不代表最终的全局数据。

QQ截图20200623175129.jpg

七,总结。

这是网吧行业,前所未有的大事件,我们看到同行的团结,有人出人,有力出力,有技术出技术,特别是 xiaocao(鲁迅说 ) 同学花了几天时间,出力出工出技术,敢为天下先,为大家找到了源头。

同时也看到了个别同行,罔顾事实,冷嘲热讽他人的辛苦分析数据。

唯愿诸君多努力,只是向上走,不必听自暴自弃者流的话。能做事的做事,能发声的发声。有一分热,发一分光。就如萤火一般,也可以在黑暗里发一点光,不必等候炬火。此后如竟没有炬火,你便是唯一的光。

 

补充:

2020/06/24

有人给 xiaocao 同学道歉了,很好啊,知错能改,善莫大焉,我们行业又充满了希望。相信又会有更多的技术大神,分享更多的好东西了。

QQ截图20200624110009.jpg

请先 [登录] 再参与讨论  SVIP介绍

10 位朋友发表了看法
  • 7楼 zwd0718   普通用户 2020-06-24 17:20:52 回复
    怎么就没有深蓝无盘的选项? 我用深蓝无盘,windows 98服务器,一点事都没。赞
    • 7楼 深蓝   管理员 2020-06-24 21:26:42 回复
      你别这样。
  • 6楼 大宇网吧   普通用户 2020-06-23 18:05:08 回复
    谢谢,昨晚已经看深蓝群里的消息封锁病毒了 谢谢各位大老板的付出 这几天就没睡个好觉!
  • 5楼 8067020   SVIP付费会员 2020-06-23 18:01:06 回复
    感谢大佬们的无私奉献!
  • 4楼 dyg   普通用户 2020-06-23 17:57:20 回复
    谢谢 xiaocao经常看他在群里无私分享好多技术
  • 3楼 win8   SVIP付费会员 2020-06-23 17:56:23 回复
    我们这边已经报警了 等待结果,跑腿的抓住了
    • 3楼 深蓝   管理员 2020-06-24 21:26:50 回复
      抓住的结果如何?
  • 2楼 江北   SVIP付费会员 2020-06-23 17:55:17 回复
    我三个网吧中了,发现有人上机3分钟就下机 然后去另一家网吧
  • 1楼 i2120   普通用户 2020-06-23 16:28:32 回复
    我认为删文件之类的都不靠谱 还是用1个小时重装一下服务器系统 装到2019最靠谱
    • 1楼 深蓝   管理员 2020-06-23 17:54:18 回复
      同意,中毒后,最好是彻底重做下。
深蓝微信