近期大量网吧网关被攻击，具体显示为网关服务器内网网卡数据包流量极大，并占用大量CPU资源，引起丢包、掉线等现象。
最近一直在查找原因，今天终于找到了，是Backdoor.ShangXing.av病毒
下面是我在一个网站上看到的说明，地址为：
http://www.antiy.com/security/report/20060907.htm
Backdoor.Win32.ShangXing.av分析
全文如下：
Backdoor.Win32.ShangXing.av分析
出处：安天实验室 时间：2006-09-07 10：30


病毒标签：
病毒名称： Backdoor.Win32.ShangXing.av
中文名称： 上兴远程控制V3.9
病毒类型： 后门类
文件 MD5： 80ED230F00C5D4F688EEA045AEC0A2A5
公开范围： 完全公开
危害等级： 严重
文件长度： 849,561 字节
感染系统： Win9X以上系统
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： Upack 0.3.9 beta2s -> Dwing
命名对照： 驱逐舰[Backdoor.Pegeon.421]

病毒描述：
　　该病毒运行后，需要用户生成客户端，当某人运行客户端后，就会成为受控制端。客户端运行后，会在%System32%释放两个文件，并会以线程的方式寄生到IEXPLOER.EXE进程中。之后生成一项服务，以便在开机后运行客户端。当用户感染此病毒后，会完全受控于病毒客户端。

行为分析：
1、释放下列副本与文件

%\program files\%common files\microsoft shared\msinfo\客户端名.exe

2、新建注册表键值：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Windows_rejoice\Description键值: 字符串: "上兴远控服务端"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Windows_rejoice\DisplayName键值: 字符串: "Windows_客户端名"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Windows_rejoice\ImagePath键值: 类型: REG_EXPAND_SZ 长度: 66 (0x42) 字节
%\program files\%common files\microsoft shared\msinfo\客户端名.exe

3、服务端插入IE线程，连接客户端。

客户端打开本地8080端口等待服务端连接。

4、客户端运行后会连接下列网址：

WWW.**exe.com

5、添加下列服务：

名称
Windows_客户端名
描述
上兴远控服务端
发行商

　　映象路径
　　%\program files\%common files\microsoft shared\msinfo\客户端名.exe
注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。


--------------------------------------------------------------------------------
清除方案：
  1、使用安天木马防线可彻底清除此病毒(推荐)

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

IEXPLORE.EXE
病毒同名进程

(2) 删除病毒文件

%\program files\%common files\microsoft shared\msinfo\客户端名.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Windows_rejoice\Description键值: 字符串: "上兴远控服务端"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Windows_rejoice\DisplayName键值: 字符串: "Windows_客户端名"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Windows_rejoice\ImagePath键值: 类型: REG_EXPAND_SZ 长度: 66 (0x42) 字节
%\program files\%common files\microsoft shared\msinfo\客户端名.exe


在此，请教高手，这个病毒如何在网吧防范？

怀疑上ARP 欺骗..

不怎么象 ShangXing 后门..

防范？？？
这补丁打打齐。。。。更新杀软

回2楼：绝对不是ARP欺骗，这个我可以肯定，100%肯定就是该病毒在作怪！
回3楼：说了和没说一样，要打什么补丁可以解决？网吧机器全装瑞星是不现实的！

是你自己说如何防范。。自己说话不知道说的什么意思。。。搞的人家到底是要杀还是要防范。。。表达能力有问题

引用:

【deadmanzj的贴子】是你自己说如何防范。。自己说话不知道说的什么意思。。。搞的人家到底是要杀还是要防范。。。表达能力有问题 ………………

晕死，好像我从没说过要杀毒，我的问题是如何在网吧防范，不让它起作用，攻击网关，造成网吧瘫痪。我的帖子对此说的很明白！我搞不明白，我哪个地方表达有问题了？是您理解错了！
再有，朋友，我是来寻求帮助或探索解决办法的，并不是来吵架的！

切。。。。是你自己搞的像吵架，偶把防范的都说了，你说我和没说一样。。。偶懒的理你

网吧不是有还原卡么???

上兴 不会这么消耗网络资源吧

你扫个hijackthis日志上来看看

引用:

【deadmanzj的贴子】切。。。。是你自己搞的像吵架，偶把防范的都说了，你说我和没说一样。。。偶懒的理你 ………………

强烈的鄙视！搞的和什么高手一样！不过也难说，毕竟头衔:社区会员，等级:豁然贯通，文章:859，注册:2006-7-24

你老人家说的是什么防范的方法？拿出来叫大家看看！下面是您老说的话：
防范？？？
这补丁打打齐。。。。更新杀软

“更新杀软”，我还可以理解，更新杀毒软件
“这补丁打打齐。。。。”，这算什么鸟话？中国话吗？至少我不明白！


我强调过，我的问题是如何在网吧防范，不让它起作用，攻击网关，造成网吧瘫痪。网吧客户机器全部安装杀毒软件，这现实吗？要知道，杀毒软件不升级几乎没用，但网吧安装还原系统，及时升级就不现实！


我也知道，我的水平有限（菜鸟１个），但您这样的“高手”不要用什么“表达能力有问题”、“偶懒的理你”这样的话来敷衍！本人虽然文学水平不是很高，但自信中国话还讲的明白！
拜托！解决不了可以讨论，但至少不要胡说！不要侮辱别人的人格和智力！

如果您要再发言，请先看明白我想干什么，好不！免得我再说您理解能力差！