建議放光明網站讀者採取安全補救措施的通知

關於法輪功

大陸消息

時事評論

海外消息

真象資料

按日瀏覽

訂閱明慧

致海外學員：電腦的基本安全設置和使用（2003年10月8日更新）

首頁 > 技術參考 > 網絡突破

建議放光明網站讀者採取安全補救措施的通知

打印機版

【明慧網2005年9月4日】（北京時間2005年9月12日4:40更新）北京時間9月2日，放光明網站（http://asp.fgmtv.org)發現網頁中被黑客加入了惡意代碼，網站技術人員已於北京時間9月3日上午清除了有關代碼。根據目前的檢查結果，上述惡意代碼是在8月初被加入的。建議在本通知所示日期範圍內用 IE 訪問過放光明等網站的海內外讀者，馬上重新安裝計算機操作系統，並根據自己的環境酌情採取其它相關措施。

該惡意代碼將放光明網站訪問者鏈接到大陸的某惡意網站，然後利用IE的安全漏洞下載木馬程序植入訪問者的電腦，暴露訪問者的IP等信息，並可能監視訪問者的鍵盤操作等。殺毒軟件（如諾頓）不能監測到該木馬。

從2005年8月初到2005年9月3日，如果您訪問過放光明網站時，使用的是IE（Internet Explorer），並且沒有在2005年1月後打過視窗補丁，上述這段惡意代碼會自動從別的地方下載並運行一個木馬程序，安裝在你的電腦上。

* 檢測計算機是否感染的方法請見本文附錄。

* 如果計算機被感染，請務必馬上採取安全補救措施。補救措施建議如下：

1、重新安裝計算機操作系統。如果有裝機時的GHOST鏡像，可以用來恢復。
2、更換上網IP。
3、修改所用電子郵箱賬號的密碼。如果你用的是國內的郵箱，或者是國外的Yahoo，hotmail，gmail的郵箱，應該放棄原來的的帳號，以免這些公司幫助中共監視。
（我們不建議用軟件清除該木馬，因為該木馬非常惡毒，只有重裝電腦才是根本的方法。）

輕舟網http://qingzhou.sytes.net/（包括用輕舟網的所有域名）也出現了同樣的安全問題，時間段大約是今年年初到9月4日凌晨。現在輕舟網已收到通知，關閉了網站，並在清理內容。如果您在那段時間用IE瀏覽過輕舟網，建議您也馬上從新安裝一下自己的計算機操作系統軟件。

明慧技術部，放光明技術部
2005年9月3日

附錄：檢測方法

下面是目前的測試結果。基本上集中在判斷是否被木馬感染的方面，準確度是建立在我們目前測試的基礎上，基本可以作為是否被感染的參考。

目前發現了兩種木馬。一個是hndylau.exe，這個在輕舟和放光明上都有。另一個是ray.exe，這個僅僅在放光明上發現了。

對於第一個，hndylau.exe，這個木馬會在系統中產生2個文件：SSock32.dll和svch0st.exe。如果搜索硬盤文件，含有對應的文件名字，那麼就確認感染了。這個木馬會把機主的信息發送給一個大陸指定的電子郵箱。

對於第二個，ray.exe，在大陸和海外的6種不同的操作系統中的測試，在註冊表中和系統文件中，都會產生Yzxekttb相關的文件和註冊項目。因此如果搜索到包含Yzxekttb 的文件名字，就可以確認是感染了。這個木馬具體行為我們不太清楚，但目前沒有發現有類似rootkit的後門保留。

參考檢測方法：

步驟一：搜索硬盤上所有的文件名字，如果有包含Yzxekttb，SSock32.dll，svch0st.exe，ray.exe 這4個字符串的，那麼基本確定被感染了。需要重新安裝系統。

步驟二：按“開始”──“執行”──在“開啟”欄中，鍵入“regedit”──在跳出的窗口中將光標置於“我的電腦”──在“編輯”菜單選項中, 有“搜尋”功能──請分別尋找Yzxekttb，svch0st.exe。如果有對應的搜索結果，基本就確定感染了。

但是這裏有個例外，XP的註冊表中，在Search Assistant項目下的關鍵字不算，這個是它把剛剛搜索的記錄加到註冊表中了。在Windows 2000下，是Internet explorer/ExplorerBars/FilesNamedMRU/

XP：
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\...

Windows 2000:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU

(English Translation: http://www.clearwisdom.net/emh/articles/2005/9/7/64669.html)

	推薦給朋友
	意見和建議