近期我们接到了
多家门店反馈被入侵的问题.
经过分析以后,
我们判断此次入侵是
有不法分子通过多种渠道,
对门店实施违法犯罪活动.
目前有在QQ群,微信群中,有技术人员发现
有不法分子通过线上招募的方式,
安排不法人员前往门店使用客户机攻击服务器.
如有发现被入侵的用户,
可以根据C盘STUPDATE.EXE所生成的时间,
定位对应的上机人,
并查询该用户的身份证举报至网警处,
避免更多的门店受到损害.
如果你本地网警未受理,可以在
http://www.cyberpolice.cn/wfjb/
进行网络举报,最大限度震慑犯罪分子.
以下平台漏洞皆根据日志以及病毒文件样本推测所得结论，
并未获得原始入侵工具，
故有可能与真实情况有出入。。。

特此说明。
我怎么确定服务器中了这个木马？
目前已知的远程控制木马服务名称为“FastUserSwitchingCompatibility”，不排除后面会变化。
打开cmd，输入 sc query FastUserSwitchingCompatibility 查询这个服务是否安装，如果显示“指定的服务未安装”，暂时可认为安全。
或搜索C盘下是否有STupdater.exe文件，一般在C:\Windows\或C:\Windows\syswow64或C:\Windows\system32下，如果有表示中招，还要检查服务器启动项.
目前我的网吧都没中招，昨天问询了大约十几个人这里的协议没卸载，我都是装好服务器就卸载的，仅供参考

网吧部分信息截图

此人已经被抓获

据说Windows Server 2019不能卸载，将这一项的勾去掉即可。
云更新
云更新平台发现被入侵时，
服务器的日志记录中
发现客户端使用了爆破或破解VNC远程的方法
连接至了服务器。
同时在服务器C盘windows目录
下生成STUPDATE.EXE文件,注册服务等工作.
下图为STUPDATE.EXE释放时
同一时间的服务器VNC日志

系统日志中有大量
TVNCSERVER尝试登录的日志.

解决方案
我们建议将下图中的kvnserver64文件结束进程后,改名即可

顺网网维大师
通过检查发现网维大师是通过游戏效果上传进行注入的.
不法分子通过在使用客户端上传游戏接口,
伪造身份以及封包,
将上传文件修改为以下路径
d:\网维大师\barserver\GameOpData\1592644237.rar\..\..\..\BarServer\TransferFilePatchEx.exe
的文件进行了溢出攻击。
所以出现问题的门店在
GameOpData文件夹下
会生成包含1592644237.rar类似的文件夹.
如下图

其中..\代表返回上一级目录

..\..\..\代表回到BarServer目录下,

将目录下的TransferFilePatchEx.exe进行替换.

从而达到了溢出效果.

将目标文件替换为不法分子的TransferFilePatchEx.exe

替换后的文件还伪造顺网的签名

同时TransferFilePatch被修改了时间

服务器入侵结束后,
在服务器C盘windows目录下生成STUPDATE.EXE文件,
注册服务等工作.
入侵日志文件在此处下载
链接：https://pan.baidu.com/s/1yhHucL4uTh0Hs1FFIGwiPw
提取码：zsno

在log日志中可以看到上传的时间以及IP,
可以轻松定位不法分子.
解决方案
请等待官方解决
易乐游
在易乐游平台中也发现C盘
生成STUPDATE.EXE文件.
但是由于现场没有被保存,
我们只能通过日志来进行推测。
根据LOG发现生成STUPDATE.EXE的时间,
去查询当天关于STVNC的远程log日志,
该日志非常大。
有可能和云更新一样,
是通过破解或者是爆破VNC来达到侵入服务器端的目的.
所以推荐在易乐游官方正式说明前,
可以将以下服务进行关闭,来降低降低被入侵的可能性.
近期被入侵的朋友可以尽快联系易乐游工作人员,
这样可以在日志文件被清除前保留现场,
从而进一步确定不肖分子所使用的方法.
解决方案
我们建议将以下远程服务在官方没有给明确解决方案之前,
将此服务设置为停用状态.

安装杀毒的用户
安装火绒的用户因为杀毒软件的存在,
木马被释放之后就被查杀了,
所以达到了防御效果。
但是软件的漏洞还在，应尽快修补漏洞。
我们可以等待无盘厂商的专业人员对不法分子的客户端分析,
从而将已经安装的木马完全卸载掉.
可以下载由维护大师技术A制作的清除木马批处理clean.bat提供下载地址,

文件下载

资源名称：clean.bat

下载地址

本bat由多个环境汇总而来，能一键清理STUPdater以及相关木马服务。原版系统或Server2019如果手动运行，建议以管理员权限运行。文末提供了一键下发到所有服务器执行的方法。

1、我怎么确定服务器中了这个木马？
目前已知的远程控制木马服务名称为“FastUserSwitchingCompatibility”，不排除后面会变化。
打开cmd，输入 sc query FastUserSwitchingCompatibility 查询这个服务是否安装，如果显示“指定的服务未安装”，暂时可认为安全。

2、木马是怎么到服务器的？
从目前各方汇总的信息来看无法完全确定，请大家不要以讹传讹。如果漏洞未封堵，那么清理后仍然可能重新被植入。

3、中了这个木马后会怎么样？
目前植入的木马为gh0st木马，中了后服务器就变成所谓的“肉鸡”。gh0st是一个全能的远程控制软件，对方可以随时远程控制服务器、传输文件、批量下发执行文件或命令、或者利用这些中木马的肉鸡对指定地址进行DDoS攻击。沙发提供了木马样本。

4、我用火绒能杀干净吗？
已知最新版火绒无法清除这个木马服务。

5、客户机需要做什么处理吗？
目前远程了一些网吧没发现在客户机镜像或开机命令做了手脚，但还是建议排查一下镜像还原点、无盘开机命令、各种第三方软件的开机通道。

使用维护大师三层任务一键下发执行bat教程：

三层任务详细图文教程:https://123.weihudashi.com/997/
登录WEB端，主账号和子账号都可以；
找到三层任务模块，新建服务器任务，上传文件，选择下载的BAT文件上传，输入任务名称，选择下载后执行一次，确定后完成新建任务；
点击“关联网吧”按钮，选择所有服务器，确定后将自动下发执行bat.
作为应急处理。
请注意(上传溢出的文件以及木马升级后可能生成的其他文件,
此批处理并未处理)
如果可以，猛烈猛烈建议重做服务器！！！

整合各位坛友群友对ST木马的处理：集成了免疫、清理、以及必要的安全措施修补

感谢群里各位兄弟的参与和分享，小弟不材整合了各位大神的版本，给需要的兄弟！

集成了免疫、清理、以及必要的安全措施修补。

服务器关键位置还得做限制运行的方式，又回到了以前做有盘防止中毒的年代了。

0622整合版本大小：1.41 KB

已经过安全软件检测无毒，请您放心下载。

网维大师官方方案

关于利用网维漏洞的处理方法
1、在BarServer目录下，将TransferFile.dll进行改名，改成TransferFile.dll.bak
2、在BarServer目录下，将TransferFilePatchEx.exe进行改名，改成TransferFilePatchEx.exe.bak
3、删除C:\Windows\STupdater.exe
4、重启BarServer.exe

来自深蓝官方-已经中毒的服务器一键清理。

RD C:\Windows\TEMP\updater_temp_STVNCServer\1.0.0.2\ /S /Q
RD C:\Windows\Temp\Mount /S /Q
RD C:\Windows\Temp\updater_temp_STVNCServer /S /Q
RD "C:\Program Files (x86)\Mount" /S /Q
del C:\Windows\Temp\ /Q
del C:\Windows\UpdaterLogForSTVNCServer.txt
del C:\Windows\STUPdater.exe
Net Stop FastUserSwitchingCompatibility
SC delete FastUserSwitchingCompatibility
schtasks /delete /TN  Batch /F

目前多出的文件，云更新下面, 感谢深蓝软件群友空白提供

C:\Windows\syswow64\AppRead.exe
C:\Windows\STUPdater.exe
D:\lwserver\count.dat
D:\lwserver\uninst0.dat
C:\Program Files(x86)\Mount\Mount.exe
C:\Program Files(x86)\Mount\zlib1.dll