放光明網站緊急通知:下載MPEG/AVI文件的安全警告

——有關合併程序所中特洛伊木馬的緊急修復措施

Twitter Facebook 轉發 打印
關注度:
【明慧網2003年10月1日】放光明網站的緊急通知:因放光明網站服務器再次被侵入(大約是8月底到9月底期間),本網站登載的xxx_merge.exe(分塊合併程序)被植入了間諜程序。該間諜程序會向中國大陸的某IP地址發送消息(極可能是網特的地址)。目前我們發現,該間諜程序會修改註冊表(registry),而且生成和執行兩個程序:linxup.exe和dm_mgr.exe。xxx_Merge.exe 正常文件大小為30KB左右,凡是文件大小不正常的,尤其是90KB以上的,都是被感染的。

請前一段時期下載並運行過本網站xxx_merge.exe(合併程序)的讀者立即採取相應安全措施。清理電腦最徹底的方法是重新安裝操作系統,更換所有密碼。如果立即重裝系統有困難,請採取以下措施先清除間諜程序,並儘快重新安裝系統。

Windows 2000

昨天的試驗嘗試了如下緊急修復措施,操作系統是Windows 2000 Professional,其他windows 系統大同小異,但是對於Machitosh不適用。

對不太懂計算機的同修,修改註冊表Registry是高度專業的技術,非常容易使系統崩潰,一旦系統被搞亂請立即找懂計算機的同修修復,一定要告訴他們以下步驟中第5、6步所命名為Backup的文件存在哪裏了,以便使用Import registry File立即恢復系統。

1. 同時按下Ctrl-Alt-Del鍵,得到Windows Security 窗口
2. 按下(任務管理器Task Manager)鍵得到Windows Task Manager 窗口
3. 選擇(進程Processes Tab)查看(映像名稱Image Name)項中有無dm_mgr.exe或linxup.exe在運行,如有則用鼠標點擊使之變藍,然後按下(結束進程End Process)鍵中止此進程。(如果該程序無法中止,請用微軟的Kill.exe(下載)程序將該程序中止。
4. 按下左下角(開始Start)鍵選擇(運行Run)選項,輸入regedit,按下OK鍵,系統會彈出(註冊表編輯器Registry Editor)窗口。
5. 選擇菜單上的(註冊表Registry),在子菜單中選擇(導出註冊表文件Export registry File)
6. 系統彈出新窗口,在(文件名File name)中鍵入Backup然後按下(保存Save)鍵。系統會保存一份Registry file。
7. 找到如下鍵值(Key)並刪除:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WMDM
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WMDM
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WMDM
8. 重新啟動機器,進入安全模式,進入C:\WINNT\system32目錄查看有無dm_mgr.exe 和linxup.exe文件,如有則刪除。
9. 關機並關掉電源然後重新啟動計算機。
10. 立即安裝防火牆,我用的是ZoneAlarm。ZoneAlarm Pro.此軟件的免費版在:http://www.zonelabs.com/store/content/company/products/znalm/
freeDownload.jsp?lid=zadb_zadown
建議找懂計算機的同修加裝正式版防火牆。
===========================================
Windows 98

1. 停止運行被感染的 xxx_Merge.exe 正常文件大小為30KB左右,凡是文件大小不正常的,尤其是90KB以上的,都是被感染的。
2. 刪除被感染的 xxx_Merge.exe
3. 刪除系統文件夾下的木馬文件:
linxup.exe
dm_mgr.exe
系統文件夾在Windows 98 一般是 C:\Windows\System;
在Windows 2000 一般是 C:\WINNT\System32,更可靠的辦法是整盤搜索上述文件,找到之後刪除。
4. 刪除臨時文件夾的病毒文件:dofl.exe
臨時文件夾在 Windows 98 一般是 C:\Windows\Temp
更可靠的辦法是整盤搜索上述文件,找到之後刪除。
5. 使用RegEdit.exe刪除木馬用於自動啟動的註冊表記錄
\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面的"Dm mgr" 項
6. 重新啟動系統
7. 可以使用一些工具檢查正在運行的程序。如果發現linxup.exe,木馬仍然在運行。


部份建議:

好像還有類似的其它文件名也是這個間諜程序,已經知道的有:linxup.exe,fl.exe,svch0st.exe(註冊表中,是NetLogon Help)。由於間諜程序可以進行的操作可能很複雜,所以如果發現有這個病毒,建議重裝系統,修改所有曾經在那個機器上用過的密碼和用戶名。

本文章或節目明慧網版權所有,非盈利轉載請註明
來源明慧網,並包含明慧網原文標題及原文鏈接。