技術交流:警惕病毒郵件

Twitter Facebook 轉發 打印
關注度:
【明慧網2005年3月1日】
  • 警惕病毒郵件

  • 下載的無界瀏覽一定要經過指紋驗證

  • 警惕病毒郵件

    最近幾個月,我發現有網特以minghui.ca和falundafa.org的名義發送一種新型lovegate病毒郵件。

    這種新型lovegate病毒,是一種專門用於竊取密碼的郵件群發蠕蟲病毒,集蠕蟲、後門、黑客於一身,通過病毒郵件進行郵件傳播,通過建立後門給用戶的計算機建立一個洩密通道,通過放出後門程序與外界遠程木馬溝通,通過放出盜竊密碼程序主動盜竊計算機密碼。它能夠用自帶的SMTP引擎通過電子郵件實現大量傳播,危害極大。

    近三個月來,我在大陸、加拿大檢測到這種新型lovegate病毒郵件,隱蔽性極強。這種病毒郵件顯示出以**@minghui.ca 、**@falundafa.org為發送地址(其實並不是真正由**@minghui.ca 、**@falundafa.org這些地址發送;用戶可以從它的發送ip地址上查出具體地理位置),同時附件又顯示出是壓縮文檔格式(其實也並不是真正的壓縮文檔)、而不是一般容易讓人警覺的.exe可執行格式,所以隱蔽性很強。

    病毒症狀:如果用戶下載它的附件,並且點擊了這種壓縮文件、試圖打開,會發現無論如何點擊,都看不到打開來的壓縮文檔。此時如果用戶正確安裝了zonealarm防火牆,可能會出現程序連接網絡的詢問,也有可能會出現點擊硬盤分區盤符、卻無法進入的表現;但是更多時候是沒有任何可疑症狀的。其實這個時候,病毒已經完成了在用戶電腦上的複製、感染了所有的分區以及絕大多數可執行文件。

    如果沒有立刻清除這個lovegate後門病毒,它會立刻自動搜索用戶電腦上的所有郵件地址、自動使用自帶的SMTP引擎給搜索到的郵件地址發送傳播病毒。同時它能夠在用戶使用加密軟件、登錄郵箱以及進行其他輸入口令操作時,竊取絕大多數的口令,並且將竊取到的口令自動發送給病毒郵件的製作者(中共特務)。甚至能夠打開系統後門,讓對方遠程控制電腦。所以危害極大;必須立即清除。

    清除lovegate病毒:雖然國內很多殺毒廠商都推出了lovegate專殺工具,但是據實踐反映殺毒效果都並不理想、難以清除乾淨。而且僅僅重裝系統、或者用ghost恢復鏡像,根本無濟於事,因為每個分區都會中毒。

    推薦使用諾頓公司的lovegate專殺工具、英文名W32.HLLW.Lovgate Removal Tool,下載地址:http://securityresponse.symantec.com/avcenter/FixLG.com 。

    使用方法(操作步驟)---從下載地址:http://securityresponse.symantec.com/avcenter/FixLG.com,下載lovegate專殺工具--可執行文件fixlg.com,將其保存在桌面上;或者,最好能夠保存在未被lovegate病毒感染的軟盤、u盤上。然後關閉所有程序;雙擊這個文件fixlg.com.等到fixlg.com執行完畢,重啟系統;再執行一次fixlg.com,檢查是否清除乾淨。

    同時因為lovegate病毒會破壞windows系統註冊表,所以往往殺除病毒後,會出現點擊硬盤分區盤符、卻無法進入的表現。如果我們使用lovegate專殺工具清除lovegate後,發現硬盤分區不能進入,就需要使用諾頓公司的命令行註冊表恢復工具,英文名Tool to reset shell\open\command registry keys,下載地址:http://securityresponse.symantec.com/avcenter/UnHookExec.inf 。

    使用方法(操作步驟)---從下載地址:http://securityresponse.symantec.com/avcenter/UnHookExec.inf, 下載命令行註冊表恢復工具,注意它不是可執行文件、而是一個inf格式文檔;同樣保存在桌面上。然後將鼠標放在UnHookExec.inf這個文檔上,單擊鼠標右鍵,會出現一個右鍵菜單。點擊右鍵菜單中的「安裝」(也可能是「install」),就能夠恢復系統正常。

    這個命令行註冊表恢復工具可以適用於任何被病毒木馬破壞後、出現無法正常打開硬盤或程序的情形。

    當然如果用戶使用了好的病毒防火牆,就不會感染上lovegate病毒。這裏推薦使用zonealarm(網絡防火牆)+kaspersky(卡巴斯基病毒防火牆)為可靠的網絡安全組合。

    安全使用電子郵件的常識

    一般來說,當你收到帶附件的郵件時,除非你能確定附件是甚麼,不要打開附件。當確實需要打開附件時,只能打開已知安全的附件,即.zip,.rar,. jpg,.gif,.bmp文件。

    惡意郵件為了欺騙收件人,常常將附件文件名取為雙後綴,如 「letter.zip    .exe」,其中「.zip」和「.exe」之間有很長的空格,時你誤以為是.zip文件,其實是可執行的.exe文件,因為是最後的後綴決定這個文件是甚麼。所以一定要小心。有的郵件軟件在這種情形下不能正確顯示完整的文件名,而是收件人受騙。如果不確定,可以按右鍵見附件存到硬盤上,再查看完整的文件名。

    很多電腦買來時是被缺省設為不顯示文件名後綴的。為顯示完整的文件名一定要將其改為顯示文件名後綴。設置辦法在Windows 2000下為:用資源管理器打開任何一個文件夾,按Tools->Folder Options->View,將 Hide file extensions for known file types前的對勾去掉,按OK就好了。

    另外,即使收到的是zip附件,本身是不可執行文件,但zip文件中可能裝有惡意文件。所以打開zip文件中的每一個文件時都要按照上述說明弄清其完整文件名,找到最後的後綴,然後只打開已知安全的文件。


    下載的無界瀏覽一定要經過指紋驗證

    請廣大同修注意,下載的無界瀏覽(ultrasurf65.zip、ultrasurf65.exe)一定要經過指紋驗證,以防文件被修改,引來邪惡。我曾經通過無界漫遊3.6上網,下載了這兩個文件,未經驗證即上網,結果不但在地址欄中輸網址連不上,還引起了邪惡的注意,警察竟到我上網的網吧來查身份證。一定要注意!u66.exe,u66.zip 也需要驗證。

    本文章或節目明慧網版權所有,非盈利轉載請註明
    來源明慧網,並包含明慧網原文標題及原文鏈接。