尊敬的网吧业主、网络管理员:
您好!
我公司自四月十二号下午陆续接到全国不同地区网吧老板和代理反映客户机连接不上服务器的问题。我们紧急安排人员排查,发现连不通的情况下ping命令也不能连接,确定是由于网络不通引起的,排除软件本身问题,再到网吧实地排查,于15日取得病毒样本。主要情况如下:
*问题出现后现象:
1. Pubwin客户端和控制台无法连接上Pubwin服务器,此时通过ping命令发现客户端和控制台ping向服务器的包都提示:Request timed out. ;(注:控制台提示连接服务器失败,客护端开机后一直显示红色叉,登陆提示:客户端不受管理状态)
2.从服务器ping向控制台和已经开启的任一客户机都是通的;
3.客户机相互任意双向ping都是通畅;
注:在控制台和客户端ping服务器过程中发现,通常情况下,ping的结果是时断时续,一般会丢失十五个ping包以内就会在不做任何操作情况下就会自动恢复通畅;少数网吧会持续一个小时以上;
*排查结果:
经过几天全公司调查以及网吧的反应,我们已经成功提取了病毒样本,其中包括如下程序:
1.abc.exe;2.7bNbgw.exe;3.Procmon.exe;4.sfc.exe;5.winhost.exe;6.HostService.exe;7.xs.exe;8.lsn1.exe
此程序会从lsn1.exe慢慢涨到lsn25.exe.经过我们的高级底层驱动工程师脱壳分析这些几乎全部是木马程序,其中包括:
a) QQ盗号木马;
b) 游戏盗号木马;
c) socket5代理(木马),可以反向找控制端通过端口发送数据,从而中断正常数据;
d) 截包发现有篡改本机出去的数据的mac地址的行为;
e) 使中毒机器成为“肉鸡”任意控制。
总结:此次事件是病毒的蔓延所引起的,该批病毒能引起三个方面的后果。一是盗号;二是破坏计费软件的正常工作;三是使中毒机器成为“肉鸡”。
这批病毒我们已提交上海市公安局,并报案。
我们还在对病毒进一步的分析,为解决或减少病毒对网吧的影响,希望网吧能做如下的处理:
1.升级Pubwin 2009新的版本(4月19日后的版本增加了相关处理);
2.关闭客户机135,137,138,139,445端口或停用共享服务(server);
3.升级微软4月13日发布的安全补丁(http://blogs.technet.com/b/gcrsec/archive/2011/04/13/20110413-4-13-17.aspx);
4.有带网管型的交换机对服务器进行Mac绑定。
解决该问题的版本使用网吧自身的注册号登陆即可进行下载。若某些地区无法下载到版本请联系当地代理商。
上海新浩艺软件有限公司
2011年04月21日