STUPdater.exe 入侵信息匯總與解決辦法 VER1.1

  2020年06月23日  深藍  6137 閱讀  10 評論

一,特別感謝 xiaocao(魯迅說) 研究幾天,徹底研究出病毒源頭,并大膽假設,小心求證,研究公開病毒是通過人肉上網,付費接任務等方式,去網吧運行入侵軟件,入侵網吧針盤系統。目前波及,主流無盤服務器。(當然,這可能不一定是唯一的方式。)

詳細地址:https://mp.weixin.qq.com/s/vbDm_Cub4cHdPY8HW_Ickg 

 xiaocao(魯迅說)  在文章發布后,就算這篇文章有大量翔實的證據, 親自反匯編資料的情況下,依然有各種嘲諷和漫罵。最終  xiaocao(魯迅說) 同學堅持實事求是,頂住了壓力公布了真相,目前各大無盤廠商已經在修復相應的漏洞。而后大量用戶也通過,視頻監控,上機時間,文件入侵時間等證實了,“病毒是通過人肉去網吧內網上網入侵”的驚人判斷是正確的。(雖然這個判斷第一次聽說時,確實匪夷所思。)

要不是xiaocao(魯迅說)同學這么快找出真相,網吧行業的同行,昨晚可能很多人都睡不好覺了。無盤廠商也不可能那么快的修復漏洞。

突然明白了為什么網吧行業,愿意免費共享技術,免費共享好軟件的朋友越來越少,因為他們很多人的心可能早都被一些罔顧事實,信口開河,出口成臟的人傷透了。

QQ截圖20200623173129.jpg

QQ截圖20200623173204.jpg

QQ截圖20200623173244.jpg

QQ截圖20200623173337.jpg

QQ截圖20200623173411.jpg

二,網維大師提供的漏洞處理方法:

1、在BarServer目錄下,將TransferFile.dll進行改名,改成TransferFile.dll.bak

2、在BarServer目錄下,將TransferFilePatchEx.exe進行改名,改成TransferFilePatchEx.exe.bak

3、刪除C:\Windows\STUPdater.exe

4、重啟BarServer.exe

后續等待網維大師無盤的升級,徹底解決此問題。感謝 SVIP會員 [email protected](520108006) 提供。

三,已經中毒的服務器一鍵清理。

RD C:\Windows\TEMP\updater_temp_STVNCServer\1.0.0.2\ /S /Q
RD C:\Windows\Temp\Mount /S /Q
RD C:\Windows\Temp\updater_temp_STVNCServer /S /Q
RD "C:\Program Files (x86)\Mount" /S /Q
del C:\Windows\Temp\ /Q
del C:\Windows\UpdaterLogForSTVNCServer.txt
del C:\Windows\STUPdater.exe
Net Stop FastUserSwitchingCompatibility
SC delete FastUserSwitchingCompatibility
schtasks /delete /TN  Batch /F

感謝群友:三毛 提供

四,目前多出的文件,云更新下面, 感謝深藍軟件群友 空白 提供

C:\Windows\syswow64\AppRead.exe
C:\Windows\STUPdater.exe
D:\lwserver\count.dat
D:\lwserver\uninst0.dat
C:\Program Files(x86)\Mount\Mount.exe
C:\Program Files(x86)\Mount\zlib1.dll

QQ截圖20200623151617.jpg

云更新官方給出的臨時解決方案:https://mp.weixin.qq.com/s?01060&idx=1&sn=a

五,客戶端入侵文件MD5

感謝xiaocao 同學再次公布,現在網吧入侵的客戶機文件MD5

5F8CF815C1BF948E8A4239204C81C78E

現在大家暫時在網吧客戶機屏蔽此MD5文件,可以暫時防止這一波的入侵。

QQ截圖20200623174221.jpg

 

六,進展

各大無盤已經在研究和升級程序,以實現從源頭上防止攻擊的目。

QQ截圖20200623174952.jpg

本次中毒的無盤環境統計:本數據由深藍軟件群友投票購買成,不代表最終的全局數據。

QQ截圖20200623175129.jpg

七,總結。

這是網吧行業,前所未有的大事件,我們看到同行的團結,有人出人,有力出力,有技術出技術,特別是 xiaocao(魯迅說 ) 同學花了幾天時間,出力出工出技術,敢為天下先,為大家找到了源頭。

同時也看到了個別同行,罔顧事實,冷嘲熱諷他人的辛苦分析數據。

唯愿諸君多努力,只是向上走,不必聽自暴自棄者流的話。能做事的做事,能發聲的發聲。有一分熱,發一分光。就如螢火一般,也可以在黑暗里發一點光,不必等候炬火。此后如竟沒有炬火,你便是唯一的光。

 

補充:

2020/06/24

有人給 xiaocao 同學道歉了,很好啊,知錯能改,善莫大焉,我們行業又充滿了希望。相信又會有更多的技術大神,分享更多的好東西了。

QQ截圖20200624110009.jpg

請先 [登錄] 再參與討論  SVIP介紹

10 位朋友發表了看法
  • 7樓 zwd0718   普通用戶 2020-06-24 17:20:52 回復
    怎么就沒有深藍無盤的選項? 我用深藍無盤,windows 98服務器,一點事都沒。贊
    • 7樓 深藍   管理員 2020-06-24 21:26:42 回復
      你別這樣。
  • 6樓 大宇網吧   普通用戶 2020-06-23 18:05:08 回復
    謝謝,昨晚已經看深藍群里的消息封鎖病毒了 謝謝各位大老板的付出 這幾天就沒睡個好覺!
  • 5樓 8067020   SVIP付費會員 2020-06-23 18:01:06 回復
    感謝大佬們的無私奉獻!
  • 4樓 dyg   普通用戶 2020-06-23 17:57:20 回復
    謝謝 xiaocao經常看他在群里無私分享好多技術
  • 3樓 win8   SVIP付費會員 2020-06-23 17:56:23 回復
    我們這邊已經報警了 等待結果,跑腿的抓住了
    • 3樓 深藍   管理員 2020-06-24 21:26:50 回復
      抓住的結果如何?
  • 2樓 江北   SVIP付費會員 2020-06-23 17:55:17 回復
    我三個網吧中了,發現有人上機3分鐘就下機 然后去另一家網吧
  • 1樓 i2120   普通用戶 2020-06-23 16:28:32 回復
    我認為刪文件之類的都不靠譜 還是用1個小時重裝一下服務器系統 裝到2019最靠譜
    • 1樓 深藍   管理員 2020-06-23 17:54:18 回復
      同意,中毒后,最好是徹底重做下。
深藍微信
新时时豹子走势图 股票指数有什么作用作为一种基准指标 河南福彩22选5预测 大发快三全天计划表 天津11选五中奖规则 福建快3台子 股利多配资 山东11选5前三组选走势 山西快乐十分前三直选 福建快三开奖号码 云南快乐10分规律 广西快三实时开奖 管家婆论坛27735管家论坛 山东期货配资投资网 河北十一选五 胆拖投注规则 准精选资料 炒股 APP