建议放光明网站读者采取安全补救措施的通知

【明慧网2005年9月4日】(北京时间2005年9月12日4:40更新)北京时间9月2日,放光明网站(http://asp.fgmtv.org)发现网页中被黑客加入了恶意代码,网站技术人员已于北京时间9月3日上午清除了有关代码。根据目前的检查结果,上述恶意代码是在8月初被加入的。建议在本通知所示日期范围内用 IE 访问过放光明等网站的海内外读者,马上重新安装计算机操作系统,并根据自己的环境酌情采取其它相关措施。

该恶意代码将放光明网站访问者链接到大陆的某恶意网站,然后利用IE的安全漏洞下载木马程序植入访问者的电脑,暴露访问者的IP等信息,并可能监视访问者的键盘操作等。杀毒软件(如诺顿)不能监测到该木马。

从2005年8月初到2005年9月3日,如果您访问过放光明网站时,使用的是IE(Internet Explorer),并且没有在2005年1月后打过视窗补丁,上述这段恶意代码会自动从别的地方下载并运行一个木马程序,安装在你的电脑上。

* 检测计算机是否感染的方法请见本文附录

* 如果计算机被感染,请务必马上采取安全补救措施。补救措施建议如下:

1、重新安装计算机操作系统。如果有装机时的GHOST镜像,可以用来恢复。
2、更换上网IP。
3、修改所用电子邮箱账号的密码。如果你用的是国内的邮箱,或者是国外的Yahoo,hotmail,gmail的邮箱,应该放弃原来的的帐号,以免这些公司帮助中共监视。
(我们不建议用软件清除该木马,因为该木马非常恶毒,只有重装电脑才是根本的方法。)

轻舟网http://qingzhou.sytes.net/(包括用轻舟网的所有域名)也出现了同样的安全问题,时间段大约是今年年初到9月4日凌晨。现在轻舟网已收到通知,关闭了网站,并在清理内容。如果您在那段时间用IE浏览过轻舟网,建议您也马上从新安装一下自己的计算机操作系统软件。

明慧技术部,放光明技术部
2005年9月3日


附录:检测方法

下面是目前的测试结果。 基本上集中在判断是否被木马感染的方面,准确度是建立在我们目前测试的基础上,基本可以作为是否被感染的参考。

目前发现了两种木马。一个是hndylau.exe,这个在轻舟和放光明上都有。另一个是ray.exe,这个仅仅在放光明上发现了。

对于第一个,hndylau.exe,这个木马会在系统中产生2个文件:SSock32.dll和svch0st.exe。如果搜索硬盘文件,含有对应的文件名字,那么就确认感染了。这个木马会把机主的信息发送给一个大陆指定的电子邮箱。

对于第二个,ray.exe,在大陆和海外的6种不同的操作系统中的测试,在注册表中和系统文件中,都会产生Yzxekttb相关的文件和注册项目。因此如果搜索到包含Yzxekttb 的文件名字,就可以确认是感染了。这个木马具体行为我们不太清楚,但目前没有发现有类似rootkit的后门保留。

参考检测方法:

步骤一:搜索硬盘上所有的文件名字,如果有包含Yzxekttb,SSock32.dll,svch0st.exe,ray.exe 这4个字符串的,那么基本确定被感染了。需要重新安装系统。

步骤二:按“开始”——“执行”——在“开启”栏中,键入“regedit”——在跳出的窗口中将光标置于“我的电脑”——在“编辑”菜单选项中, 有“搜寻”功能——请分别寻找Yzxekttb,svch0st.exe。如果有对应的搜索结果,基本就确定感染了。

但是这里有个例外,XP的注册表中,在Search Assistant项目下的关键字不算,这个是它把刚刚搜索的记录加到注册表中了。在Windows 2000下,是Internet explorer/ExplorerBars/FilesNamedMRU/

XP:
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\...

Windows 2000:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU










查询
至今为止所有文章
选择时间区间
: