VFP 愛用者社區 首頁 VFP 愛用者社區
本討論區為 Visual Foxpro 愛用者經驗交流的地方, 請多多利用"搜尋"的功能, 先查看看有無前例可循, 如果還有不懂的再發問. 部份主題有附加檔案, 須先註冊成為社區居民才可以下載.
 
 常見問題常見問題   搜尋搜尋   會員列表會員列表   會員群組會員群組   會員註冊會員註冊 
 個人資料個人資料   登入檢查您的私人訊息登入檢查您的私人訊息   登入登入 

[轉貼] 百度.com的惡意ie是插件病毒??

 
發表新主題   回覆主題    VFP 愛用者社區 首頁 -> Windows 討論區
上一篇主題 :: 下一篇主題  
發表人 內容
Ruey



註冊時間: 2003-03-12
文章: 1698
來自: tunglo

第 1 樓

發表發表於: 星期三 四月 28, 2004 5:49 pm    文章主題: [轉貼] 百度.com的惡意ie是插件病毒?? 引言回覆

若原來刪除又困難 請進入安全模式刪檔


一直不知道,直到今天看到這篇文章,然後查一下系統
和註冊表,果然是這樣子。我以前還一直納悶,為什麼防火牆
報告rundll32.exe這個系統工作老是試突連接網路。

baidu.com這個公司後台很硬,上次大陸中國政府把google.com
的dns換成baidu.com就是這個公司幕後指使的。
說不定你瀏覽
網站的時候,你的重要信息已經被baidu.com收集了。大家
一定要小心。
很多網友私下傳播反動信息,被國安局
帶走,估計就與這有關。 。



另外,就算你不瀏覽baidu.com也沒用。很多國局內網站給baidu.com
打廣告,會自動給你裝上這個惡意插件。防不勝防。唯一辦法
就是按這篇文章所說的方法做,徹底清除,一勞永逸。

「百度插件病毒」深度分析,一個比3721還噁心的東西。

來源:安全焦點
主旨:百度插件病毒」深度分析

最近發現在瀏覽一些網站時,會不知不覺的被安裝上一個來自百度公司名為「IE搜尋伴
侶」的IE插件。
這個插件極為怪異,有時的簽名是baidu.com,有時的簽名是Gaoling Interactive
Information Technology Corporation limited,不僅偷偷摸摸還極為霸道,3721一
類的IE插件還幾天彈一次,百度的這個插件卻每分每秒無時不刻的在瘋狂彈出,讓人防
不勝防。

百度插件開機自動執行「BIE」工作,拖慢上網速度,使系統執行極不穩定,在有的殺
毒軟體論壇裡用戶在聲討這個插件,很多網友發現百度插件安裝後不經用戶許可就刪除
用戶硬碟資料和註冊表項,致使一些軟體無法正常執行,更可怕的是百度這個叫
「BIE」的後台程序隱藏執行,在系統配置程序裡刪不掉,其對應的註冊表項刪除後又
自動恢復,與病毒的特徵完全一樣。在金山毒霸的論壇裡還有用戶反應百度插件與中國
遊戲中心在線客戶端、影音衛士等軟體衝突,關機時經常會致使IE出錯。

通過分析這個軟體的源碼可以看出,這是個一個寫得很粗糙的Windows應用程式
#include "windows.h"
#include "winbase.h"
void main()
{
char buf[MAX_PATH];
::ZeroMemory(buf, MAX_PATH);
::GetWindowsDirectory(buf, MAX_PATH);
char filename[MAX_PATH];
::ZeroMemory(filename, MAX_PATH);
strcpy(filename, buf);
strcat(filename, "\\Downloaded Program Files\\BDPlugin.dll");
::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);
::ZeroMemory(filename, MAX_PATH);
strcpy(filename, buf);
strcat(filename, "\\Downloaded Program Files\\BDHelper.dll");
::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);
::ZeroMemory(filename, MAX_PATH);
strcpy(filename, buf);
strcat(filename, "\\Downloaded Program Files\\BDSrHook.dll");
::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);
::ZeroMemory(filename, MAX_PATH);
strcpy(filename, buf);
strcat(filename, "\\Downloaded Program Files\\BDEx.dll");
::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);
}

但這個百度IE插件用正常的卸載方法根本不能完全卸載,下面給大家介紹完全卸載這個
插件的詳細方法。
由於這個百度IE插件是使用Rundll32.exe使用連接庫的,系統無法終止Rundll32.exe進
程,所以我們必須先重新啟動電腦,按 F8 進入安全模式(F8 只能按一次)之後,
按下 開始 -> 執行 regedit開啟註冊表,進入:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除鍵:BIE 其鍵值為:Rundll32 C:\WINNT\DOWNLO~1\BDPlugin.dll,Rundll32(如果
是win98,這裡的 C:\WINNT\DOWNLO~1\ 為 C:\WINDOWS\DOWNLO~1\)
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
Explorer\AdvancedOptions\ACCESSIBILITY
刪除鍵:BDSEARCH,此鍵在 Internet 選項 -> 進階 中加入了百度IE搜尋伴侶的選
項。
HKEY_CLASSES_ROOT
刪除鍵:BDHlprObj.BDHlprObj
刪除鍵:BDHlprObj.BDHlprObj.1
刪除鍵:BDHook.BDSrchHook
刪除鍵:BDHook.BDSrchHook.1
刪除鍵:BDHook.URLBDHook
刪除鍵:BDHook.URLBDHook.1
刪除鍵:BDPlugins.Interceptor
刪除鍵:BDPlugins.Interceptor.1
HKEY_CLASSES_ROOT\CLSID
刪除鍵:{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}
刪除鍵:{CA92B524-BC8A-4610-BD2C-6BD3E28155D0}
HKEY_CLASSES_ROOT\TypeLib
刪除鍵:{CE7C3CE2-4B15-11D1-ABED-709549C10000}
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID
刪除鍵:{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}
刪除鍵:{CA92B524-BC8A-4610-BD2C-6BD3E28155D0}
HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib
刪除鍵:{CE7C3CE2-4B15-11D1-ABED-709549C10000}
HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units
刪除鍵:{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}
刪除鍵:{CA92B524-BC8A-4610-BD2C-6BD3E28155D0}
刪除完註冊表中的項之後,還需要刪除存儲在硬碟中IE搜尋伴侶的文件。
刪除如下文件:C:\WINNT\DOWNLO~1 目錄下(98下為 C:\WINDOWS\DOWNLO~1\ 下同)
BDEX.DLL 24576 12-25-02 11:43
BDPLUGIN.DLL 49152 12-25-02 11:44
BDSRHOOK.DLL 32768 12-25-02 11:45
BDHELPER.DLL 36864 12-25-02 11:52
BDSEARCH.INF 1507 12-28-02 9:48
以上文件全部刪除,這樣百度IE插件就基本上從你的電腦中全部清除了。最後,重新
啟動電腦,進入正常模式就不再有百度插件的侵害了。

下面是完全禁止百度插件的方法:
完全刪除百度插件之後,用Windows自帶的記事本開啟hosts文件(hosts文件是Windows
裡面自帶的將主機名稱映射到 IP 位址的一個文本格式的文件,hosts表位置,Win9x系
列在C:\Windows,NT、win2000平台在\winnt\system32\drivers\etc,Winxp平台在
\windows\system32\drivers\etc,如果找不到就搜尋一下hosts)

加入以下字串(IP和域名之間用一個空格間隔開):

127.0.0.1 bar.baidu.com
127.0.0.1 www.baidu.com
127.0.0.1 baidu.com

儲存的檔案名為hosts(注意不要加任何副檔名),怎麼樣?再也看不到百度插件的對話
框了吧?
同理,用Hosts文件還可以對付網頁中的廣告。現在很多大型網站,都有專門存放廣告
的主機,檢視網頁的來源碼,就可以知道廣告文件存放在哪台主機上,然後用Hosts文
件解析這台主機的IP,就可以把這些廣告拒之門外了。
這個方法不足的地方就是無法
訪問百度網站,不過我們都使用Google(www.google.com),百度網站也沒有訪問的價
值。

另外如果有用NetCaptor、MYIE、QQ瀏覽器等多頁面瀏覽器的網友也可以把:
www.baidu.com 202.108.250.228
bar.baidu.com 202.108.250.204
這些增加到黑名單,
把C段封殺
202.108.250.*
---------------------------
附件附上Hosts:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost
127.0.0.1 bar.baidu.com #百度IE插件
127.0.0.1 www.baidu.com #百度IE插件
127.0.0.1 baidu.com #百度IE插件

_________________
#############################
快樂媽咪系列幸福宅配,喝十全雞湯~原來幸福那麼簡單!!

學會VFP使用者社區的搜尋,Code才會更有趣~
#############################


Ruey 在 星期三 四月 28, 2004 5:51 pm 作了第 1 次修改
回頂端
檢視會員個人資料 發送私人訊息
Ruey



註冊時間: 2003-03-12
文章: 1698
來自: tunglo

第 2 樓

發表發表於: 星期三 四月 28, 2004 5:50 pm    文章主題: 引言回覆

首先,這種程式並不是「病毒」,只是很像病毒的形式而已。這個被稱為「3721網路實名」的程式,會在你瀏覽一些入口網站時,不知不覺地被安裝上去。這屬於支援IE瀏覽器的外掛程式,主要是「3721網路實名」開發的,主要的目的是提供入口網站更多的功能。雖然這些入口網站和3721公司是本著商業行為的標準形式,但片面地為用戶安裝這個外掛程式就有點不道德了!3721其實就象一個114查號臺,或者象一個全國都在廣泛使用的電話號碼本,實際上是把黃頁、搜索引擎和軟體這三種技術結合到一起,提供了一個讓企業客戶迅速找到企業的快速通道,它類似病毒的行為,主要是它一開機就自動啟動,為IE增加一些功能,但偶爾會使系統運行時,產生不穩定的情況,連帶著影響到上網的速度。有時候關機時會出現「explorer.exe」錯誤的浮現視窗。另外,電腦每次重新開機時,有機會會出現「載入C:\windows\downlo~1\cnsmin.dll時錯誤,系統找不到指定的檔案。」

最大的問題就是這個「3721網路實名」,由於程式特殊設計的關係,它是完全沒有移除功能的!有興趣的讀者,這堸黤坐H給你看看它的程式原始碼,看得出來它不是木馬程式和病毒,但是只要透過msconfig關閉功能,或是更動regstry都沒有用,會自動「變身」,換個名字繼續啟動,所以永遠刪除不掉!

• 怎麼樣知道自己有沒有「中標」?

1.使用「msconfig」系統組態管理工具,關閉「jkhajkd.exe」類似的程式,重開機之後,它又會以另外一個名字出現。

2.只要啟動IE後,選擇工具選項後,在「進階」設定裡看到這個選項,就知道你「中標了」。即使你把這些功能的選項打勾都取消也沒用。

• 那麼要怎麼移除它呢?

這個網頁程式的有趣之處,就是當你連結到包含此程式碼的網頁,它會自動使用「Rundll32.exe」連結程式庫,此時系統是無法終止Rundll32.exe執行,因為這是系統重要的執行程序。因此,要刪除它,一定得重新啟動電腦,一直按下<CTRL>,選擇進入安全模式「SAFE MODE」才可以。

詳細的方法如下:

1、進入安全模式後,使用regedit這個指令,修改windows系統的regedit,唯有這個方法可以移除網絡實名的程式。

(1).按一下「開始」。
(2).按一下「執行」。
(3).鍵入「regedit」,按一下鍵盤上的鍵。


2、首先先進入以下的機碼字串,「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 」,這裡是Windows開機會載入的程式之總集合,我們選擇「CnsMin」,把這個值整個刪除掉。在WindowsXP、2000的環境下,它的鍵值是「Rundll32.exe C:\WINNT\DOWNLO~1\CnsMin.dll,Rundll32」,如果是Windows98、ME,那麼就會是「Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32」

找到這一串後,按一下鍵盤上的鍵刪除。

3、接著,移動到「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\」這一串值,將目錄「!CNS 」刪除掉,它是讓Internet 選項中的進階設定頁有「3721網絡實名」的選項。

找到這一串後,按一下鍵盤上的鍵刪除。

4、再來,分別進入「HKEY_LOCAL_MACHINE\SOFTWARE\3721\」與「HKEY_CURRENT_USER\Software\3721\」,將整個目錄「3721」刪除。

找到這一串後,按一下鍵盤上的鍵刪除。

5、另外,「HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\」下有關「CNS」的值都要刪除,這邊給讀者一個方便的作法,就是用這個程式的尋找功能,將所有有關「CNS」的值都刪除掉。

找到與CNS相關的值,都是按一下鍵盤上的鍵刪除。

6、在刪除完註冊表中的數值之後,還需要刪除存儲在硬碟中的3721網絡實名檔案,最簡單的方式,也是利用搜尋的方式,將所有在C:\WINNT\DOWNLO~1 或 C:\WINDOWS\DOWNLO~1\ 下包含「cns」的檔案都刪除掉。

利用搜尋功能,把CNS相關的檔案都刪除掉。

此要你在安全模式下把這些檔案和註冊值都清除,那麼重新啟動電腦,進入正常模式後,就不會有 3721網絡實名出現

不過修改之前...regedit 記得先備份...

_________________
#############################
快樂媽咪系列幸福宅配,喝十全雞湯~原來幸福那麼簡單!!

學會VFP使用者社區的搜尋,Code才會更有趣~
#############################
回頂端
檢視會員個人資料 發送私人訊息
elleryq



註冊時間: 2007-06-21
文章: 766


第 3 樓

發表發表於: 星期二 五月 04, 2004 10:10 am    文章主題: 引言回覆

改用 mozilla 吧~~
回頂端
檢視會員個人資料 發送私人訊息 參觀發表人的個人網站
從之前的文章開始顯示:   
發表新主題   回覆主題    VFP 愛用者社區 首頁 -> Windows 討論區 所有的時間均為 台北時間 (GMT + 8 小時)
1頁(共1頁)

 
前往:  
無法 在這個版面發表文章
無法 在這個版面回覆文章
無法 在這個版面編輯文章
無法 在這個版面刪除文章
無法 在這個版面進行投票
無法 在這個版面附加檔案
無法 在這個版面下載檔案


Powered by phpBB © 2001, 2005 phpBB Group
正體中文語系由 phpbb-tw 維護製作