技術交流：警惕病毒郵件

---

警惕病毒郵件

最近幾個月，我發現有網特以minghui.ca和falundafa.org的名義發送一種新型lovegate病毒郵件。

這種新型lovegate病毒，是一種專門用於竊取密碼的郵件群發蠕蟲病毒，集蠕蟲、後門、黑客於一身，通過病毒郵件進行郵件傳播，通過建立後門給用戶的計算機建立一個洩密通道，通過放出後門程序與外界遠程木馬溝通，通過放出盜竊密碼程序主動盜竊計算機密碼。它能夠用自帶的SMTP引擎通過電子郵件實現大量傳播，危害極大。

近三個月來，我在大陸、加拿大檢測到這種新型lovegate病毒郵件，隱蔽性極強。這種病毒郵件顯示出以**@minghui.ca 、**@falundafa.org為發送地址（其實並不是真正由**@minghui.ca 、**@falundafa.org這些地址發送；用戶可以從它的發送ip地址上查出具體地理位置），同時附件又顯示出是壓縮文檔格式（其實也並不是真正的壓縮文檔）、而不是一般容易讓人警覺的.exe可執行格式，所以隱蔽性很強。

病毒症狀：如果用戶下載它的附件，並且點擊了這種壓縮文件、試圖打開，會發現無論如何點擊，都看不到打開來的壓縮文檔。此時如果用戶正確安裝了zonealarm防火牆，可能會出現程序連接網絡的詢問，也有可能會出現點擊硬盤分區盤符、卻無法進入的表現；但是更多時候是沒有任何可疑症狀的。其實這個時候，病毒已經完成了在用戶電腦上的複製、感染了所有的分區以及絕大多數可執行文件。

如果沒有立刻清除這個lovegate後門病毒，它會立刻自動搜索用戶電腦上的所有郵件地址、自動使用自帶的SMTP引擎給搜索到的郵件地址發送傳播病毒。同時它能夠在用戶使用加密軟件、登錄郵箱以及進行其他輸入口令操作時，竊取絕大多數的口令，並且將竊取到的口令自動發送給病毒郵件的製作者（中共特務）。甚至能夠打開系統後門，讓對方遠程控制電腦。所以危害極大；必須立即清除。

清除lovegate病毒：雖然國內很多殺毒廠商都推出了lovegate專殺工具，但是據實踐反映殺毒效果都並不理想、難以清除乾淨。而且僅僅重裝系統、或者用ghost恢復鏡像，根本無濟於事，因為每個分區都會中毒。

推薦使用諾頓公司的lovegate專殺工具、英文名W32.HLLW.Lovgate Removal Tool，下載地址：https://securityresponse.symantec.com/avcenter/FixLG.com 。

使用方法（操作步驟）－－－從下載地址：https://securityresponse.symantec.com/avcenter/FixLG.com，下載lovegate專殺工具－－可執行文件fixlg.com，將其保存在桌面上；或者，最好能夠保存在未被lovegate病毒感染的軟盤、u盤上。然後關閉所有程序；雙擊這個文件fixlg.com.等到fixlg.com執行完畢，重啟系統；再執行一次fixlg.com，檢查是否清除乾淨。

同時因為lovegate病毒會破壞windows系統註冊表，所以往往殺除病毒後，會出現點擊硬盤分區盤符、卻無法進入的表現。如果我們使用lovegate專殺工具清除lovegate後，發現硬盤分區不能進入，就需要使用諾頓公司的命令行註冊表恢復工具，英文名Tool to reset shell\open\command registry keys，下載地址：https://securityresponse.symantec.com/avcenter/UnHookExec.inf 。

使用方法（操作步驟）－－－從下載地址：https://securityresponse.symantec.com/avcenter/UnHookExec.inf， 下載命令行註冊表恢復工具，注意它不是可執行文件、而是一個inf格式文檔；同樣保存在桌面上。然後將鼠標放在UnHookExec.inf這個文檔上，單擊鼠標右鍵，會出現一個右鍵菜單。點擊右鍵菜單中的「安裝」（也可能是「install」），就能夠恢復系統正常。

這個命令行註冊表恢復工具可以適用於任何被病毒木馬破壞後、出現無法正常打開硬盤或程序的情形。

當然如果用戶使用了好的病毒防火牆，就不會感染上lovegate病毒。這裏推薦使用zonealarm（網絡防火牆）＋kaspersky（卡巴斯基病毒防火牆）為可靠的網絡安全組合。

安全使用電子郵件的常識

一般來說，當你收到帶附件的郵件時，除非你能確定附件是甚麼，不要打開附件。當確實需要打開附件時，只能打開已知安全的附件，即.zip，.rar，. jpg，.gif，.bmp文件。

惡意郵件為了欺騙收件人，常常將附件文件名取為雙後綴，如 「letter.zip　　　　.exe」，其中「.zip」和「.exe」之間有很長的空格，時你誤以為是.zip文件，其實是可執行的.exe文件，因為是最後的後綴決定這個文件是甚麼。所以一定要小心。有的郵件軟件在這種情形下不能正確顯示完整的文件名，而是收件人受騙。如果不確定，可以按右鍵見附件存到硬盤上，再查看完整的文件名。

很多電腦買來時是被缺省設為不顯示文件名後綴的。為顯示完整的文件名一定要將其改為顯示文件名後綴。設置辦法在Windows 2000下為：用資源管理器打開任何一個文件夾，按Tools->Folder Options->View，將 Hide file extensions for known file types前的對勾去掉，按OK就好了。

另外，即使收到的是zip附件，本身是不可執行文件，但zip文件中可能裝有惡意文件。所以打開zip文件中的每一個文件時都要按照上述說明弄清其完整文件名，找到最後的後綴，然後只打開已知安全的文件。

---

下載的無界瀏覽一定要經過指紋驗證

請廣大同修注意，下載的無界瀏覽（ultrasurf65.zip、ultrasurf65.exe）一定要經過指紋驗證，以防文件被修改，引來邪惡。我曾經通過無界漫遊3.6上網，下載了這兩個文件，未經驗證即上網，結果不但在地址欄中輸網址連不上，還引起了邪惡的注意，警察竟到我上網的網吧來查身份證。一定要注意！u66.exe，u66.zip 也需要驗證。