|
以下内容均来自深蓝软件:https://slsup.com/post/656.html 一,特别感谢 xiaocao(鲁迅说) 研究几天,彻底研究出病毒源头,并大胆假设,小心求证,研究公开病毒是通过人肉上网,付费接任务等方式,去网吧运行入侵软件,入侵网吧针盘系统。目前波及,主流无盘服务器。(当然,这可能不一定是唯一的方式。) xiaocao(鲁迅说) 在文章发布后,就算这篇文章有大量翔实的证据, 亲自反汇编资料的情况下,依然有各种嘲讽和漫骂。最终 xiaocao(鲁迅说) 同学坚持实事求是,顶住了压力公布了真相,目前各大无盘厂商已经在修复相应的漏洞。而后大量用户也通过,视频监控,上机时间,文件入侵时间等证实了,“病毒是通过人肉去网吧内网上网入侵”的惊人判断是正确的。(虽然这个判断第一次听说时,确实匪夷所思。) 要不是xiaocao(鲁迅说)同学这么快找出真相,网吧行业的同行,昨晚可能很多人都睡不好觉了。无盘厂商也不可能那么快的修复漏洞。 突然明白了为什么网吧行业,愿意免费共享技术,免费共享好软件的朋友越来越少,因为他们很多人的心可能早都被一些罔顾事实,信口开河,出口成脏的人伤透了。 二,网维大师提供的漏洞处理方法: 1、在BarServer目录下,将TransferFile.dll进行改名,改成TransferFile.dll.bak 2、在BarServer目录下,将TransferFilePatchEx.exe进行改名,改成TransferFilePatchEx.exe.bak 3、删除C:\Windows\STUPdater.exe 4、重启BarServer.exe
三,已经中毒的服务器一键清理。 RD C:\Windows\TEMP\updater_temp_STVNCServer\1.0.0.2\ /S /Q
RD C:\Windows\Temp\Mount /S /Q
RD C:\Windows\Temp\updater_temp_STVNCServer /S /Q
RD "C:\Program Files (x86)\Mount" /S /Q
del C:\Windows\Temp\ /Q
del C:\Windows\UpdaterLogForSTVNCServer.txt
del C:\Windows\STUPdater.exe
Net Stop FastUserSwitchingCompatibility
SC delete FastUserSwitchingCompatibility
schtasks /delete /TN Batch /F
感谢群友:三毛 提供 四,目前多出的文件,云更新下面, 感谢深蓝软件群友 空白 提供 C:\Windows\syswow64\AppRead.exe
C:\Windows\STUPdater.exe
D:\lwserver\count.dat
D:\lwserver\uninst0.dat
C:\Program Files(x86)\Mount\Mount.exe
C:\Program Files(x86)\Mount\zlib1.dll
五,客户端入侵文件MD5 感谢xiaocao 同学再次公布,现在网吧入侵的客户机文件MD5 5F8CF815C1BF948E8A4239204C81C78E 现在大家暂时在网吧客户机屏蔽此MD5文件,可以暂时防止这一波的入侵。
六,进展 各大无盘已经在研究和升级程序,以实现从源头上防止攻击的目。 本次中毒的无盘环境统计:本数据由深蓝软件群友投票购买成,不代表最终的全局数据。 七,总结。 这是网吧行业,前所未有的大事件,我们看到同行的团结,有人出人,有力出力,有技术出技术,特别是 xiaocao(鲁迅说 ) 同学花了几天时间,出力出工出技术,敢为天下先,为大家找到了源头。 同时也看到了个别同行,罔顾事实,冷嘲热讽他人的辛苦分析数据。 唯愿诸君多努力,只是向上走,不必听自暴自弃者流的话。能做事的做事,能发声的发声。有一分热,发一分光。就如萤火一般,也可以在黑暗里发一点光,不必等候炬火。此后如竟没有炬火,你便是唯一的光。
| 
窥视卡
雷达卡
发表于 2020-6-23 21:12:14
提升卡
置顶卡
沉默卡
变色卡
千斤顶