近期大量网吧网关被攻击，具体显示为网关服务器内网网卡数据包流量极大，并占用大量CPU资源，引起丢包、掉线等现象。
最近一直在查找原因，今天终于找到了，是Backdoor.ShangXing.av病毒
下面是我在一个网站上看到的说明，地址为：
http://www.antiy.com/security/report/20060907.htm
Backdoor.Win32.ShangXing.av分析
全文如下：
Backdoor.Win32.ShangXing.av分析
出处：安天实验室 时间：2006-09-07 10：30


病毒标签：
病毒名称： Backdoor.Win32.ShangXing.av
中文名称： 上兴远程控制V3.9
病毒类型： 后门类
文件 MD5： 80ED230F00C5D4F688EEA045AEC0A2A5
公开范围： 完全公开
危害等级： 严重
文件长度： 849,561 字节
感染系统： Win9X以上系统
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： Upack 0.3.9 beta2s -> Dwing
命名对照： 驱逐舰[Backdoor.Pegeon.421]

病毒描述：
　　该病毒运行后，需要用户生成客户端，当某人运行客户端后，就会成为受控制端。客户端运行后，会在%System32%释放两个文件，并会以线程的方式寄生到IEXPLOER.EXE进程中。之后生成一项服务，以便在开机后运行客户端。当用户感染此病毒后，会完全受控于病毒客户端。

行为分析：
1、释放下列副本与文件

%\program files\%common files\microsoft shared\msinfo\客户端名.exe

2、新建注册表键值：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Windows_rejoice\Description键值: 字符串: "上兴远控服务端"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Windows_rejoice\DisplayName键值: 字符串: "Windows_客户端名"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Windows_rejoice\ImagePath键值: 类型: REG_EXPAND_SZ 长度: 66 (0x42) 字节
%\program files\%common files\microsoft shared\msinfo\客户端名.exe

3、服务端插入IE线程，连接客户端。

客户端打开本地8080端口等待服务端连接。

4、客户端运行后会连接下列网址：

WWW.**exe.com

5、添加下列服务：

名称
Windows_客户端名
描述
上兴远控服务端
发行商

　　映象路径
　　%\program files\%common files\microsoft shared\msinfo\客户端名.exe
注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。


--------------------------------------------------------------------------------
清除方案：
  1、使用安天木马防线可彻底清除此病毒(推荐)

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

IEXPLORE.EXE
病毒同名进程

(2) 删除病毒文件

%\program files\%common files\microsoft shared\msinfo\客户端名.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Windows_rejoice\Description键值: 字符串: "上兴远控服务端"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Windows_rejoice\DisplayName键值: 字符串: "Windows_客户端名"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Windows_rejoice\ImagePath键值: 类型: REG_EXPAND_SZ 长度: 66 (0x42) 字节
%\program files\%common files\microsoft shared\msinfo\客户端名.exe


在此，请教高手，这个病毒如何在网吧防范？

回2楼：绝对不是ARP欺骗，这个我可以肯定，100%肯定就是该病毒在作怪！
回3楼：说了和没说一样，要打什么补丁可以解决？网吧机器全装瑞星是不现实的！

引用:

【deadmanzj的贴子】是你自己说如何防范。。自己说话不知道说的什么意思。。。搞的人家到底是要杀还是要防范。。。表达能力有问题 ………………

晕死，好像我从没说过要杀毒，我的问题是如何在网吧防范，不让它起作用，攻击网关，造成网吧瘫痪。我的帖子对此说的很明白！我搞不明白，我哪个地方表达有问题了？是您理解错了！
再有，朋友，我是来寻求帮助或探索解决办法的，并不是来吵架的！

引用:

【deadmanzj的贴子】切。。。。是你自己搞的像吵架，偶把防范的都说了，你说我和没说一样。。。偶懒的理你 ………………

强烈的鄙视！搞的和什么高手一样！不过也难说，毕竟头衔:社区会员，等级:豁然贯通，文章:859，注册:2006-7-24

你老人家说的是什么防范的方法？拿出来叫大家看看！下面是您老说的话：
防范？？？
这补丁打打齐。。。。更新杀软

“更新杀软”，我还可以理解，更新杀毒软件
“这补丁打打齐。。。。”，这算什么鸟话？中国话吗？至少我不明白！


我强调过，我的问题是如何在网吧防范，不让它起作用，攻击网关，造成网吧瘫痪。网吧客户机器全部安装杀毒软件，这现实吗？要知道，杀毒软件不升级几乎没用，但网吧安装还原系统，及时升级就不现实！


我也知道，我的水平有限（菜鸟１个），但您这样的“高手”不要用什么“表达能力有问题”、“偶懒的理你”这样的话来敷衍！本人虽然文学水平不是很高，但自信中国话还讲的明白！
拜托！解决不了可以讨论，但至少不要胡说！不要侮辱别人的人格和智力！

如果您要再发言，请先看明白我想干什么，好不！免得我再说您理解能力差！

谢谢各位帮助，我现在先把还原卡去掉，重新启动那个机器，并扫个hijackthis日志

Logfile of HijackThis v1.99.1
Scan saved at 9:07:43, on 2006-9-15
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\MONITOR.EXE
C:\WINDOWS\system32\internat.exe
C:\WINDOWS\system32\scrsrvr.exe
C:\program files\internet explorer\IEXPLORE.EXE
C:\WINDOWS\system32\conime.exe
F:\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\userint.exe
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_002.dll
O4 - HKLM\..\Run: [golden key] C:\WINDOWS\system32\MONITOR.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: XFL系统保护程序.lnk = C:\WINDOWS\system32\tz\mac.exe
O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\聊天工具\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\聊天工具\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\聊天工具\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\聊天工具\QQ\SendMMS.htm
O9 - Extra button: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - D:\网络游戏\浩方对战平台\GameClient.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.xflwb.com/
O16 - DPF: {6924091F-CD97-41E1-B1D4-D9079409D413} (IMCv1 Control) - http://s3.liaoliao.com:1995/talk.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBDADD6A-16CB-4D6E-A589-C800BD5F288D}: NameServer = 61.128.99.133,221.7.1.21
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Windows_rejoice - Unknown owner - C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice4.exe

说明：
1. C:\WINDOWS\system32\MONITOR.EXE
  C:\WINDOWS\system32\scrsrvr.exe
  这2个是我网吧用的金钥匙收费系统程序，属于正常。
2. O4 - Startup: XFL系统保护程序.lnk = C:\WINDOWS\system32\tz\mac.exe
  这个是网吧用的MAC绑定程序
3.扫的时候没开网页，但多了个进程C:\program files\internet explorer\IEXPLORE.EXE
4.服务里面也多了个O23 - Service: Windows_rejoice - Unknown owner - C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice4.exe