该恶意代码将放光明网站访问者链接到大陆的某恶意网站,然后利用IE的安全漏洞下载木马程序植入访问者的电脑,暴露访问者的IP等信息,并可能监视访问者的键盘操作等。杀毒软件(如诺顿)不能监测到该木马。
从2005年8月初到2005年9月3日,如果您访问过放光明网站时,使用的是IE(Internet Explorer),并且没有在2005年1月后打过视窗补丁,上述这段恶意代码会自动从别的地方下载并运行一个木马程序,安装在你的电脑上。
* 检测计算机是否感染的方法请见本文附录。
* 如果计算机被感染,请务必马上采取安全补救措施。补救措施建议如下:
1、重新安装计算机操作系统。如果有装机时的GHOST镜像,可以用来恢复。
2、更换上网IP。
3、修改所用电子邮箱账号的密码。如果你用的是国内的邮箱,或者是国外的Yahoo,hotmail,gmail的邮箱,应该放弃原来的的帐号,以免这些公司帮助中共监视。
(我们不建议用软件清除该木马,因为该木马非常恶毒,只有重装电脑才是根本的方法。)
轻舟网https://qingzhou.sytes.net/(包括用轻舟网的所有域名)也出现了同样的安全问题,时间段大约是今年年初到9月4日凌晨。现在轻舟网已收到通知,关闭了网站,并在清理内容。如果您在那段时间用IE浏览过轻舟网,建议您也马上从新安装一下自己的计算机操作系统软件。
明慧技术部,放光明技术部 2005年9月3日 |
下面是目前的测试结果。 基本上集中在判断是否被木马感染的方面,准确度是建立在我们目前测试的基础上,基本可以作为是否被感染的参考。
目前发现了两种木马。一个是hndylau.exe,这个在轻舟和放光明上都有。另一个是ray.exe,这个仅仅在放光明上发现了。
对于第一个,hndylau.exe,这个木马会在系统中产生2个文件:SSock32.dll和svch0st.exe。如果搜索硬盘文件,含有对应的文件名字,那么就确认感染了。这个木马会把机主的信息发送给一个大陆指定的电子邮箱。
对于第二个,ray.exe,在大陆和海外的6种不同的操作系统中的测试,在注册表中和系统文件中,都会产生Yzxekttb相关的文件和注册项目。因此如果搜索到包含Yzxekttb 的文件名字,就可以确认是感染了。这个木马具体行为我们不太清楚,但目前没有发现有类似rootkit的后门保留。
参考检测方法:
步骤一:搜索硬盘上所有的文件名字,如果有包含Yzxekttb,SSock32.dll,svch0st.exe,ray.exe 这4个字符串的,那么基本确定被感染了。需要重新安装系统。
步骤二:按“开始”——“执行”——在“开启”栏中,键入“regedit”——在跳出的窗口中将光标置于“我的电脑”——在“编辑”菜单选项中, 有“搜寻”功能——请分别寻找Yzxekttb,svch0st.exe。如果有对应的搜索结果,基本就确定感染了。
但是这里有个例外,XP的注册表中,在Search Assistant项目下的关键字不算,这个是它把刚刚搜索的记录加到注册表中了。在Windows 2000下,是Internet explorer/ExplorerBars/FilesNamedMRU/
XP:
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\...
Windows 2000:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU
English Version: https://en.minghui.org/html/articles/2005/9/7/64669.html