技术交流:警惕病毒邮件

【明慧网2005年3月1日】
  • 警惕病毒邮件

  • 下载的无界浏览一定要经过指纹验证

  • 警惕病毒邮件

    最近几个月,我发现有网特以minghui.ca和falundafa.org的名义发送一种新型lovegate病毒邮件。

    这种新型lovegate病毒,是一种专门用于窃取密码的邮件群发蠕虫病毒,集蠕虫、后门、黑客于一身,通过病毒邮件进行邮件传播,通过建立后门给用户的计算机建立一个泄密通道,通过放出后门程序与外界远程木马沟通,通过放出盗窃密码程序主动盗窃计算机密码。它能够用自带的SMTP引擎通过电子邮件实现大量传播,危害极大。

    近三个月来,我在大陆、加拿大检测到这种新型lovegate病毒邮件,隐蔽性极强。这种病毒邮件显示出以**@minghui.ca 、**@falundafa.org为发送地址(其实并不是真正由**@minghui.ca 、**@falundafa.org这些地址发送;用户可以从它的发送ip地址上查出具体地理位置),同时附件又显示出是压缩文档格式(其实也并不是真正的压缩文档)、而不是一般容易让人警觉的.exe可执行格式,所以隐蔽性很强。

    病毒症状:如果用户下载它的附件,并且点击了这种压缩文件、试图打开,会发现无论如何点击,都看不到打开来的压缩文档。此时如果用户正确安装了zonealarm防火墙,可能会出现程序连接网络的询问,也有可能会出现点击硬盘分区盘符、却无法进入的表现;但是更多时候是没有任何可疑症状的。其实这个时候,病毒已经完成了在用户电脑上的复制、感染了所有的分区以及绝大多数可执行文件。

    如果没有立刻清除这个lovegate后门病毒,它会立刻自动搜索用户电脑上的所有邮件地址、自动使用自带的SMTP引擎给搜索到的邮件地址发送传播病毒。同时它能够在用户使用加密软件、登录邮箱以及进行其他输入口令操作时,窃取绝大多数的口令,并且将窃取到的口令自动发送给病毒邮件的制作者(中共特务)。甚至能够打开系统后门,让对方远程控制电脑。所以危害极大;必须立即清除。

    清除lovegate病毒:虽然国内很多杀毒厂商都推出了lovegate专杀工具,但是据实践反映杀毒效果都并不理想、难以清除干净。而且仅仅重装系统、或者用ghost恢复镜像,根本无济于事,因为每个分区都会中毒。

    推荐使用诺顿公司的lovegate专杀工具、英文名W32.HLLW.Lovgate Removal Tool,下载地址:https://securityresponse.symantec.com/avcenter/FixLG.com 。

    使用方法(操作步骤)---从下载地址:https://securityresponse.symantec.com/avcenter/FixLG.com,下载lovegate专杀工具--可执行文件fixlg.com,将其保存在桌面上;或者,最好能够保存在未被lovegate病毒感染的软盘、u盘上。然后关闭所有程序;双击这个文件fixlg.com.等到fixlg.com执行完毕,重启系统;再执行一次fixlg.com,检查是否清除干净。

    同时因为lovegate病毒会破坏windows系统注册表,所以往往杀除病毒后,会出现点击硬盘分区盘符、却无法进入的表现。如果我们使用lovegate专杀工具清除lovegate后,发现硬盘分区不能进入,就需要使用诺顿公司的命令行注册表恢复工具,英文名Tool to reset shell\open\command registry keys,下载地址:https://securityresponse.symantec.com/avcenter/UnHookExec.inf 。

    使用方法(操作步骤)---从下载地址:https://securityresponse.symantec.com/avcenter/UnHookExec.inf, 下载命令行注册表恢复工具,注意它不是可执行文件、而是一个inf格式文档;同样保存在桌面上。然后将鼠标放在UnHookExec.inf这个文档上,单击鼠标右键,会出现一个右键菜单。点击右键菜单中的“安装”(也可能是“install”),就能够恢复系统正常。

    这个命令行注册表恢复工具可以适用于任何被病毒木马破坏后、出现无法正常打开硬盘或程序的情形。

    当然如果用户使用了好的病毒防火墙,就不会感染上lovegate病毒。这里推荐使用zonealarm(网络防火墙)+kaspersky(卡巴斯基病毒防火墙)为可靠的网络安全组合。

    安全使用电子邮件的常识

    一般来说,当你收到带附件的邮件时,除非你能确定附件是什么,不要打开附件。当确实需要打开附件时,只能打开已知安全的附件,即.zip,.rar,. jpg,.gif,.bmp文件。

    恶意邮件为了欺骗收件人,常常将附件文件名取为双后缀,如 “letter.zip    .exe”,其中“.zip”和“.exe”之间有很长的空格,时你误以为是.zip文件,其实是可执行的.exe文件,因为是最后的后缀决定这个文件是什么。所以一定要小心。有的邮件软件在这种情形下不能正确显示完整的文件名,而是收件人受骗。如果不确定,可以按右键见附件存到硬盘上,再查看完整的文件名。

    很多电脑买来时是被缺省设为不显示文件名后缀的。为显示完整的文件名一定要将其改为显示文件名后缀。设置办法在Windows 2000下为:用资源管理器打开任何一个文件夹,按Tools->Folder Options->View,将 Hide file extensions for known file types前的对勾去掉,按OK就好了。

    另外,即使收到的是zip附件,本身是不可执行文件,但zip文件中可能装有恶意文件。所以打开zip文件中的每一个文件时都要按照上述说明弄清其完整文件名,找到最后的后缀,然后只打开已知安全的文件。


    下载的无界浏览一定要经过指纹验证

    请广大同修注意,下载的无界浏览(ultrasurf65.zip、ultrasurf65.exe)一定要经过指纹验证,以防文件被修改,引来邪恶。我曾经通过无界漫游3.6上网,下载了这两个文件,未经验证即上网,结果不但在地址栏中输网址连不上,还引起了邪恶的注意,警察竟到我上网的网吧来查身份证。一定要注意!u66.exe,u66.zip 也需要验证。