藍澄灣業主社群

標題: IE首頁被www.my123.com無法更改 [打印本頁]

作者: leemoksau 時間: 2006-11-14 20:26:19 標題: IE首頁被www.my123.com無法更改

:evil: 點算?

作者: Jeffrey Shirley 時間: 2006-11-14 23:18:52

應該係中左毒！不過哩種毒比較麻煩，有心理預備要重裝個 Windows。

發生的原因
下列一或多個情況成立時，可能就會發生這個問題： • 您的電腦已感染了會變更 Internet Explorer 首頁的病毒。

例如，IRC.Becky.A 蠕蟲和 Trojan.JS.Clid.gen 特洛伊木馬病毒會變更 Internet Explorer 首頁。
• 您的電腦執行了會發動惡意攻擊的程式碼。

例如，JS.Exception.Exploit 程式碼可能會變更 Internet Explorer 首頁。
• 您安裝了會變更 Internet Explorer 首頁的協力廠商軟體。

例如，Xupiter.com 的 Xupiter 工具列、SecondPower.com 的 SecondPower Multimedia Speedbar 和 GoHip.com 的 GoHip! 網頁瀏覽器增強功能，都會變更 Internet Explorer 首頁。當您安裝其他程式時，可能會提示您安裝其中一個程式。
• 您的系統管理員已使用 Microsoft Internet Explorer Administration Kit (IEAK)、群組原則、系統原則，或手動設定登錄 (例如，透過登入指令碼) 等方式，設定了您的首頁。

Reference:
http://support.microsoft.com/kb/320159

作者: leemoksau 時間: 2006-11-15 00:09:08

11月11日上午各反流氓软件网站杀毒软件安全站点论坛接到大量用户报告表示其主页被恶意软件篡改为www.my123.com无法修复.从规模及爆发面积来看全国各地可能有数百万甚至上千万用户被该流氓恶意修改了主页这和之前爆发的大面积 piaoxue.comfeixue.net73ss.com9505.com81915.com4199.com等恶意修改用户主页十分相似.

同以往的一些“老流氓”相比这些新流氓的特征是爆发面积特别大效果明显目的明确单一(修改主页)手段新奇狠毒这次的my123.com流氓又有了一个新的特点就是集中在11日周六安全公司及反流氓组织休息时突然全面爆发使得它们中的绝大多数措手不及无法有效抑制病毒爆发手段卑劣

病毒的基本特征

病毒的核心部分是一个驱动程序
该驱动程序是随机文件名的.sys文件
疑似是之前piaoxue驱动的修正版
该驱动会在操作系统加载时作为System Bus Extend驱动加载

然后会将自身以独占方式打开导致任何Windows下程序也无法读写及删除它

系统启动后驱动开始分多个模块工作(分别建立多个线程)

1.服务保护模块:该模块会检测驱动自身的注册表服务项不停地暴力重写自身服务项使得无法删除其服务项

2.自身文件独占及句柄检测保护模块等:
会将自身文件以独占方式打开这样若不解除独占任何windows下使用常规访问文件方法的程序包括杀毒软件都无法读写或者删除它的驱动程序文件

文件句柄检测保护模块则是为了针对之前我的piaoxue类专杀而进行的保护
之前我的专杀会强制解除piaoxue类驱动对自身文件的独占从而将其清除
但该驱动增加了这个保护会不停检测自身文件的独占是否被强制解除如果检测到立即再次独占

2.篡改首页模块:该模块会不停暴力重写注册表中首页设置为www.my123.com导致无法对该项进行修复

下面来看看为什么这个流氓会在11月11日这天突然大面积爆发
该篡改模块会检测当前时间是否在2006年11月1日到2006年11月10日之间
如果在这段时间之内那么则潜伏下来只有模块1和模块2运行不修改主页

到了11月11号这天则启动模块3强行篡改用户主页

也就是说　11月开始该流氓早已在大量用户的机器上潜伏下来
(去看了下各个可能感染源的连接每个都有数百万乃至数千万的下载量有些更是在一些知名的下载网站上)
然后一直不发作等到11日就会突然发作造成“my123流氓不明原因大面积爆发”的现象既使反流氓组织措手不及又使得查出流氓感染源变得困难重重从piaoxuefeixue再到现在的my123其流氓手段已经同病毒无异此次的my123已经完全具备了衡量病毒的三大特征: 潜伏性、传播性、破坏性.

在我们在道德上对这些病毒作者及网站站长进行谴责的同时这些人更应受到法律的制裁.

360safe官方专杀工具

使用该工具可彻底清除my123.com的恶意病毒

该病毒会恶意篡改用户首页为my123.com

使用方法：
打开My123Killer.exe会自动检测系统是否被my123.com病毒感染

若是，可以点清除，将其清除之

就这么简单

作者: leemoksau 時間: 2006-11-15 00:10:33

我試過唔成功唯有重裝啦. :em01:

咁點樣重裝啊? :?:

作者: Jeffrey Shirley 時間: 2006-11-15 00:12:04

咁！係吾係已經攪掂左喇！ :em12:

作者: leemoksau 時間: 2006-11-15 00:14:20

[quote:076c56e55d="Jeffrey & Shirley"]咁！係吾係已經攪掂左喇！ :em12:[/quote]

唉~ 搞唔掂.

大家都要小心D.

作者: Jeffrey Shirley 時間: 2006-11-15 00:23:02

[quote:d1474d2f36="leemoksau"]我試過唔成功唯有重裝啦. :em01:

咁點樣重裝啊? :?:[/quote]
妳有無野要 backup 先呀？ :?:
如果無的話，通常開機（黑底白字畫面）o既時候，都會顯示某 D (F2)或者(F10) function key，話用黎 recovery o既功能，之後就 step by step 咁還原至出廠o既 Windows，不過吾識就搵我啦！

ops:

作者: leemoksau 時間: 2006-11-15 13:15:58

果然係親善大使 :em11:
我自己試吓先如果唔得再麻煩你. :em14:

作者: Jeffrey Shirley 時間: 2006-11-15 15:56:11

[quote:eb8e75340d="leemoksau"]果然係親善大使 :em11:
我自己試吓先如果唔得再麻煩你. :em14:[/quote]
好呀！有問題就電聯啦！ :wink:

作者: saga 時間: 2006-11-17 14:49:40

試下佢! 8)

Download 左佢--->
http://www.arswp.com/download/arswp/arswp.rar

save 係桌面解壓後開啟 & 掃瞄之後你會見到my123.com 清除左就ok了

重新開機後唔好ONLINE住對住 IE 右CLICK 搵"內容" 張首頁設定返http://hk.yahoo.com/

即刻ok晒~~~

作者: Jeffrey Shirley 時間: 2006-11-17 16:08:32

[quote:4895baf10b="saga"]試下佢! 8)

Download 左佢--->
http://www.arswp.com/download/arswp/arswp.rar

save 係桌面解壓後開啟 & 掃瞄之後你會見到my123.com 清除左就ok了

重新開機後唔好ONLINE住對住 IE 右CLICK 搵"內容" 張首頁設定返http://hk.yahoo.com/

即刻ok晒~~~[/quote]
你遲左一步，昨晚佢已經幫佢重生左！

作者: saga 時間: 2006-11-17 21:08:39

[quote:0dbfd596d6="Jeffrey & Shirley"]你遲左一步，昨晚佢已經幫佢重生左！

:[/quote]

重生都好既
夠乾淨

作者: Jeffrey Shirley 時間: 2006-11-17 23:27:15

[quote:36be777642="saga"][quote:36be777642="Jeffrey & Shirley"]你遲左一步，昨晚佢已經幫佢重生左！

:[/quote]

重生都好既
夠乾淨

[/quote]
已經物歸原主！終於一家團聚喇！

作者: leemoksau 時間: 2006-11-17 23:36:48

多謝 Jeffrey 同 saga. :em14:

作者: Jeffrey Shirley 時間: 2006-11-17 23:47:46

[quote:ed63530516="leemoksau"]多謝 Jeffrey 同 saga. :em14:[/quote]
吾洗客氣！

ops:
記得第日請大家飲......野就得喇！

作者: saga 時間: 2006-11-21 18:21:01

請積肥飲...... 麥精

作者: Jeffrey Shirley 時間: 2006-11-22 10:28:38

[quote:573e75a9c0="saga"]請積肥飲...... 麥精

:[/quote]
下次搵埋你一齊去 Robert 屋企 "隊" 過！ :em19:

作者: kk-in-hk 時間: 2006-11-22 11:46:41 標題: 用hosts table擋一下...

供大家參考一下如果再遇上類似問題(IE被指去其他網頁)時可以怎麼辦.
以我仍使用 Windows 2000 Professional 為例可以用Notepad建立一個檔案名為 "hosts" 要留意它是沒有extension的!!

我 Win2k 安裝在 c:\WINNT 因此把hosts 放在 :
C:\WINNT\system32\drivers\etc 之下.
即 C:\WINNT\system32\drivers\etc\hosts (沒有extension的可以自行改名時把extension去掉)

為免大家誤入網頁下面網頁地址我加上了空位.
"hosts"檔案的內容為 :
127.0.0.1 localhost
127.0.0.1 w w w.cnnic.cn
127.0.0.1 u.5ku.c o m
127.0.0.1 w w w.duduw.com

上面是個example而已. 其中的 "127.0.0.1" IP Address 代表你自己部PC. 它運作原理大致上是 :
當IE想去w w w.cnnic.cn 因為這個hosts檔案的存在因此不用出Internet找cnnic.cn 了改去 "127.0.0.1"這IP 結果去了自己部PC 因此不會訪問真的w w w.cnnic.cn.
第一句"127.0.0.1 localhost" 照抄往後加上你不想訪問的網頁.

當然最後也還是要找出根源不過可以暫時阻止討厭的網頁自行彈出!

歡迎光臨藍澄灣業主社群 (http://rcrest.bzone.com.hk/Discuz/)