放光明网站紧急通知:下载MPEG/AVI文件的安全警告

——有关合并程序所中特洛伊木马的紧急修复措施

【明慧网2003年10月1日】放光明网站的紧急通知:因放光明网站服务器再次被侵入(大约是8月底到9月底期间),本网站登载的xxx_merge.exe(分块合并程序)被植入了间谍程序。该间谍程序会向中国大陆的某IP地址发送消息(极可能是网特的地址)。目前我们发现,该间谍程序会修改注册表(registry),而且生成和执行两个程序:linxup.exe和dm_mgr.exe。xxx_Merge.exe 正常文件大小为30KB左右,凡是文件大小不正常的,尤其是90KB以上的,都是被感染的。

请前一段时期下载并运行过本网站xxx_merge.exe(合并程序)的读者立即采取相应安全措施。清理电脑最彻底的方法是重新安装操作系统,更换所有密码。如果立即重装系统有困难,请采取以下措施先清除间谍程序,并尽快重新安装系统。

Windows 2000

昨天的试验尝试了如下紧急修复措施,操作系统是Windows 2000 Professional,其他windows 系统大同小异,但是对于Machitosh不适用。

对不太懂计算机的同修,修改注册表Registry是高度专业的技术,非常容易使系统崩溃,一旦系统被搞乱请立即找懂计算机的同修修复,一定要告诉他们以下步骤中第5、6步所命名为Backup的文件存在哪里了,以便使用Import registry File立即恢复系统。

1. 同时按下Ctrl-Alt-Del键,得到Windows Security 窗口
2. 按下(任务管理器Task Manager)键得到Windows Task Manager 窗口
3. 选择(进程Processes Tab)查看(映像名称Image Name)项中有无dm_mgr.exe或linxup.exe在运行,如有则用鼠标点击使之变蓝,然后按下(结束进程End Process)键中止此进程。(如果该程序无法中止,请用微软的Kill.exe(下载)程序将该程序中止。
4. 按下左下角(开始Start)键选择(运行Run)选项,输入regedit,按下OK键,系统会弹出(注册表编辑器Registry Editor)窗口。
5. 选择菜单上的(注册表Registry),在子菜单中选择(导出注册表文件Export registry File)
6. 系统弹出新窗口,在(文件名File name)中键入Backup然后按下(保存Save)键。系统会保存一份Registry file。
7. 找到如下键值(Key)并删除:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WMDM
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WMDM
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WMDM
8. 重新启动机器,进入安全模式,进入C:\WINNT\system32目录查看有无dm_mgr.exe 和linxup.exe文件,如有则删除。
9. 关机并关掉电源然后重新启动计算机。
10. 立即安装防火墙,我用的是ZoneAlarm。ZoneAlarm Pro.此软件的免费版在:https://www.zonelabs.com/store/content/company/products/znalm/
freeDownload.jsp?lid=zadb_zadown
建议找懂计算机的同修加装正式版防火墙。
===========================================
Windows 98

1. 停止运行被感染的 xxx_Merge.exe 正常文件大小为30KB左右,凡是文件大小不正常的,尤其是90KB以上的,都是被感染的。
2. 删除被感染的 xxx_Merge.exe
3. 删除系统文件夹下的木马文件:
linxup.exe
dm_mgr.exe
系统文件夹在Windows 98 一般是 C:\Windows\System;
在Windows 2000 一般是 C:\WINNT\System32,更可靠的办法是整盘搜索上述文件,找到之后删除。
4. 删除临时文件夹的病毒文件:dofl.exe
临时文件夹在 Windows 98 一般是 C:\Windows\Temp
更可靠的办法是整盘搜索上述文件,找到之后删除。
5. 使用RegEdit.exe删除木马用于自动启动的注册表记录
\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面的"Dm mgr" 项
6. 重新启动系统
7. 可以使用一些工具检查正在运行的程序。如果发现linxup.exe,木马仍然在运行。


部分建议:

好像还有类似的其它文件名也是这个间谍程序,已经知道的有:linxup.exe,fl.exe,svch0st.exe(注册表中,是NetLogon Help)。由于间谍程序可以进行的操作可能很复杂,所以如果发现有这个病毒,建议重装系统,修改所有曾经在那个机器上用过的密码和用户名。