STUPdater.exe 入侵信息汇总与解决办法 VER1.1

  2020年06月23日  深蓝  19289 阅读 Tag:STUPdater.exe

一,特别感谢 xiaocao(鲁迅说) 研究几天,彻底研究出病毒源头,并大胆假设,小心求证,研究公开病毒是通过人肉上网,付费接任务等方式,去网吧运行入侵软件,入侵网吧针盘系统。目前波及,主流无盘服务器。(当然,这可能不一定是唯一的方式。)

详细地址:https://mp.weixin.qq.com/s/vbDm_Cub4cHdPY8HW_Ickg 

 xiaocao(鲁迅说)  在文章发布后,就算这篇文章有大量翔实的证据, 亲自反汇编资料的情况下,依然有各种嘲讽和漫骂。最终  xiaocao(鲁迅说) 同学坚持实事求是,顶住了压力公布了真相,目前各大无盘厂商已经在修复相应的漏洞。而后大量用户也通过,视频监控,上机时间,文件入侵时间等证实了,“病毒是通过人肉去网吧内网上网入侵”的惊人判断是正确的。(虽然这个判断第一次听说时,确实匪夷所思。)

要不是xiaocao(鲁迅说)同学这么快找出真相,网吧行业的同行,昨晚可能很多人都睡不好觉了。无盘厂商也不可能那么快的修复漏洞。

突然明白了为什么网吧行业,愿意免费共享技术,免费共享好软件的朋友越来越少,因为他们很多人的心可能早都被一些罔顾事实,信口开河,出口成脏的人伤透了。

QQ截图20200623173129.jpg

QQ截图20200623173204.jpg

QQ截图20200623173244.jpg

QQ截图20200623173337.jpg

QQ截图20200623173411.jpg

二,网维大师提供的漏洞处理方法:

1、在BarServer目录下,将TransferFile.dll进行改名,改成TransferFile.dll.bak

2、在BarServer目录下,将TransferFilePatchEx.exe进行改名,改成TransferFilePatchEx.exe.bak

3、删除C:\Windows\STUPdater.exe

4、重启BarServer.exe

后续等待网维大师无盘的升级,彻底解决此问题。感谢 SVIP会员 cls-83@qq.com(520108006) 提供。

三,已经中毒的服务器一键清理。

RD C:\Windows\TEMP\updater_temp_STVNCServer\1.0.0.2\ /S /Q
RD C:\Windows\Temp\Mount /S /Q
RD C:\Windows\Temp\updater_temp_STVNCServer /S /Q
RD "C:\Program Files (x86)\Mount" /S /Q
del C:\Windows\Temp\ /Q
del C:\Windows\UpdaterLogForSTVNCServer.txt
del C:\Windows\STUPdater.exe
Net Stop FastUserSwitchingCompatibility
SC delete FastUserSwitchingCompatibility
schtasks /delete /TN  Batch /F

感谢群友:三毛 提供

四,目前多出的文件,云更新下面, 感谢深蓝软件群友 空白 提供

C:\Windows\syswow64\AppRead.exe
C:\Windows\STUPdater.exe
D:\lwserver\count.dat
D:\lwserver\uninst0.dat
C:\Program Files(x86)\Mount\Mount.exe
C:\Program Files(x86)\Mount\zlib1.dll

QQ截图20200623151617.jpg

云更新官方给出的临时解决方案:https://mp.weixin.qq.com/s?01060&idx=1&sn=a

五,客户端入侵文件MD5

感谢xiaocao 同学再次公布,现在网吧入侵的客户机文件MD5

5F8CF815C1BF948E8A4239204C81C78E

现在大家暂时在网吧客户机屏蔽此MD5文件,可以暂时防止这一波的入侵。

QQ截图20200623174221.jpg

 

六,进展

各大无盘已经在研究和升级程序,以实现从源头上防止攻击的目。

QQ截图20200623174952.jpg

本次中毒的无盘环境统计:本数据由深蓝软件群友投票购买成,不代表最终的全局数据。

QQ截图20200623175129.jpg

七,总结。

这是网吧行业,前所未有的大事件,我们看到同行的团结,有人出人,有力出力,有技术出技术,特别是 xiaocao(鲁迅说 ) 同学花了几天时间,出力出工出技术,敢为天下先,为大家找到了源头。

同时也看到了个别同行,罔顾事实,冷嘲热讽他人的辛苦分析数据。

唯愿诸君多努力,只是向上走,不必听自暴自弃者流的话。能做事的做事,能发声的发声。有一分热,发一分光。就如萤火一般,也可以在黑暗里发一点光,不必等候炬火。此后如竟没有炬火,你便是唯一的光。

 

补充:

2020/06/24

有人给 xiaocao 同学道歉了,很好啊,知错能改,善莫大焉,我们行业又充满了希望。相信又会有更多的技术大神,分享更多的好东西了。

QQ截图20200624110009.jpg


      我的工单留言列表与站长回复 . 共有留言: 89 条