建議放光明網站讀者採取安全補救措施的通知


【明慧網2005年9月4日】(北京時間2005年9月12日4:40更新)北京時間9月2日,放光明網站(https://asp.fgmtv.org)發現網頁中被黑客加入了惡意代碼,網站技術人員已於北京時間9月3日上午清除了有關代碼。根據目前的檢查結果,上述惡意代碼是在8月初被加入的。建議在本通知所示日期範圍內用 IE 訪問過放光明等網站的海內外讀者,馬上重新安裝計算機操作系統,並根據自己的環境酌情採取其它相關措施。

該惡意代碼將放光明網站訪問者鏈接到大陸的某惡意網站,然後利用IE的安全漏洞下載木馬程序植入訪問者的電腦,暴露訪問者的IP等信息,並可能監視訪問者的鍵盤操作等。殺毒軟件(如諾頓)不能監測到該木馬。

從2005年8月初到2005年9月3日,如果您訪問過放光明網站時,使用的是IE(Internet Explorer),並且沒有在2005年1月後打過視窗補丁,上述這段惡意代碼會自動從別的地方下載並運行一個木馬程序,安裝在你的電腦上。

* 檢測計算機是否感染的方法請見本文附錄

* 如果計算機被感染,請務必馬上採取安全補救措施。補救措施建議如下:

1、重新安裝計算機操作系統。如果有裝機時的GHOST鏡像,可以用來恢復。
2、更換上網IP。
3、修改所用電子郵箱賬號的密碼。如果你用的是國內的郵箱,或者是國外的Yahoo,hotmail,gmail的郵箱,應該放棄原來的的帳號,以免這些公司幫助中共監視。
(我們不建議用軟件清除該木馬,因為該木馬非常惡毒,只有重裝電腦才是根本的方法。)

輕舟網https://qingzhou.sytes.net/(包括用輕舟網的所有域名)也出現了同樣的安全問題,時間段大約是今年年初到9月4日凌晨。現在輕舟網已收到通知,關閉了網站,並在清理內容。如果您在那段時間用IE瀏覽過輕舟網,建議您也馬上從新安裝一下自己的計算機操作系統軟件。

明慧技術部,放光明技術部
2005年9月3日


附錄:檢測方法

下面是目前的測試結果。 基本上集中在判斷是否被木馬感染的方面,準確度是建立在我們目前測試的基礎上,基本可以作為是否被感染的參考。

目前發現了兩種木馬。一個是hndylau.exe,這個在輕舟和放光明上都有。另一個是ray.exe,這個僅僅在放光明上發現了。

對於第一個,hndylau.exe,這個木馬會在系統中產生2個文件:SSock32.dll和svch0st.exe。如果搜索硬盤文件,含有對應的文件名字,那麼就確認感染了。這個木馬會把機主的信息發送給一個大陸指定的電子郵箱。

對於第二個,ray.exe,在大陸和海外的6種不同的操作系統中的測試,在註冊表中和系統文件中,都會產生Yzxekttb相關的文件和註冊項目。因此如果搜索到包含Yzxekttb 的文件名字,就可以確認是感染了。這個木馬具體行為我們不太清楚,但目前沒有發現有類似rootkit的後門保留。

參考檢測方法:

步驟一:搜索硬盤上所有的文件名字,如果有包含Yzxekttb,SSock32.dll,svch0st.exe,ray.exe 這4個字符串的,那麼基本確定被感染了。需要重新安裝系統。

步驟二:按「開始」──「執行」──在「開啟」欄中,鍵入「regedit」──在跳出的窗口中將光標置於「我的電腦」──在「編輯」菜單選項中, 有「搜尋」功能──請分別尋找Yzxekttb,svch0st.exe。如果有對應的搜索結果,基本就確定感染了。

但是這裏有個例外,XP的註冊表中,在Search Assistant項目下的關鍵字不算,這個是它把剛剛搜索的記錄加到註冊表中了。在Windows 2000下,是Internet explorer/ExplorerBars/FilesNamedMRU/

XP:
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\...

Windows 2000:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU


https://big5.minghui.org/mh/articles/2005/9/4/109789.html