• 按日浏览  
  • 订阅明慧  
  • 网站地图  
    •  
     
  • 针对强制实名上网问题的建议
  • 致海外学员:电脑的基本安全设置和使用(2003年10月8日更新)
    •  

    首页 > 技术参考 > 网络突破

    放光明网站紧急通知:下载MPEG/AVI文件的安全警告
    —— 有关合并程序所中特洛伊木马的紧急修复措施

     
      打印机版


    【明慧网2003年10月1日】放光明网站的紧急通知:因放光明网站服务器再次被侵入(大约是8月底到9月底期间),本网站登载的xxx_merge.exe(分块合并程序)被植入了间谍程序。该间谍程序会向中国大陆的某IP地址发送消息(极可能是网特的地址)。目前我们发现,该间谍程序会修改注册表(registry),而且生成和执行两个程序:linxup.exe和dm_mgr.exe。xxx_Merge.exe 正常文件大小为30KB左右,凡是文件大小不正常的,尤其是90KB以上的,都是被感染的。

    请前一段时期下载并运行过本网站xxx_merge.exe(合并程序)的读者立即采取相应安全措施。清理电脑最彻底的方法是重新安装操作系统,更换所有密码。如果立即重装系统有困难,请采取以下措施先清除间谍程序,并尽快重新安装系统。

    Windows 2000

    昨天的试验尝试了如下紧急修复措施,操作系统是Windows 2000 Professional,其他windows 系统大同小异,但是对于Machitosh不适用。

    对不太懂计算机的同修,修改注册表Registry是高度专业的技术,非常容易使系统崩溃,一旦系统被搞乱请立即找懂计算机的同修修复,一定要告诉他们以下步骤中第5、6步所命名为Backup的文件存在哪里了,以便使用Import registry File立即恢复系统。

    1. 同时按下Ctrl-Alt-Del键,得到Windows Security 窗口
    2. 按下(任务管理器Task Manager)键得到Windows Task Manager 窗口
    3. 选择(进程Processes Tab)查看(映像名称Image Name)项中有无dm_mgr.exe或linxup.exe在运行,如有则用鼠标点击使之变蓝,然后按下(结束进程End Process)键中止此进程。(如果该程序无法中止,请用微软的Kill.exe(下载)程序将该程序中止。
    4. 按下左下角(开始Start)键选择(运行Run)选项,输入regedit,按下OK键,系统会弹出(注册表编辑器Registry Editor)窗口。
    5. 选择菜单上的(注册表Registry),在子菜单中选择(导出注册表文件Export registry File)
    6. 系统弹出新窗口,在(文件名File name)中键入Backup然后按下(保存Save)键。系统会保存一份Registry file。
    7. 找到如下键值(Key)并删除:
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WMDM
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WMDM
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WMDM
    8. 重新启动机器,进入安全模式,进入C:\WINNT\system32目录查看有无dm_mgr.exe 和linxup.exe文件,如有则删除。
    9. 关机并关掉电源然后重新启动计算机。
    10. 立即安装防火墙,我用的是ZoneAlarm。ZoneAlarm Pro.此软件的免费版在:http://www.zonelabs.com/store/content/company/products/znalm/
    freeDownload.jsp?lid=zadb_zadown
    建议找懂计算机的同修加装正式版防火墙。
    ===========================================
    Windows 98

    1. 停止运行被感染的 xxx_Merge.exe 正常文件大小为30KB左右,凡是文件大小不正常的,尤其是90KB以上的,都是被感染的。
    2. 删除被感染的 xxx_Merge.exe
    3. 删除系统文件夹下的木马文件:
    linxup.exe
    dm_mgr.exe
    系统文件夹在Windows 98 一般是 C:\Windows\System;
    在Windows 2000 一般是 C:\WINNT\System32,更可靠的办法是整盘搜索上述文件,找到之后删除。
    4. 删除临时文件夹的病毒文件:dofl.exe
    临时文件夹在 Windows 98 一般是 C:\Windows\Temp
    更可靠的办法是整盘搜索上述文件,找到之后删除。
    5. 使用RegEdit.exe删除木马用于自动启动的注册表记录
    \HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面的"Dm mgr" 项
    6. 重新启动系统
    7. 可以使用一些工具检查正在运行的程序。如果发现linxup.exe,木马仍然在运行。

    部分建议:

    好像还有类似的其它文件名也是这个间谍程序,已经知道的有:linxup.exe,fl.exe,svch0st.exe(注册表中,是NetLogon Help)。由于间谍程序可以进行的操作可能很复杂,所以如果发现有这个病毒,建议重装系统,修改所有曾经在那个机器上用过的密码和用户名。
    成文:2003年10月01日  发稿:2003年10月01日  更新:2003年10月02日 03:41:58
    明慧网版权所有 © 1999-2004 MINGHUI.ORG
      推荐给朋友
      意见和建议
     
    相关文章: