博客中国竟然变身黑客中国！【转贴】 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛博客中国竟然变身黑客中国！【转贴】

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

博客中国竟然变身黑客中国！【转贴】

colmac 初生襁褓狮帖子:413 注册: 2003-07-10 来自:	发表于： 2005-07-12 22:30 \| 只看楼主短消息资料字号：小中大 1楼博客中国竟然变身黑客中国！【转贴】博客中国是中国最大的博客网站之一。没想到，博客中国竟然变身黑客中国！事情经过是这样的： 2005年6月28日早晨起床，第一件事是打开电脑。然后是打开IE浏览器，我感觉比平常慢了许多，等待良久，突然跳出一个自动安装的程序界面，并且自动运行，我以最快速度想点击取消，但来不及了，还没看清是什么软件，就自动安装上。同时，防火墙软件报警是否改注册表，我立即选择否。 没有想到，痛苦的事情发生了！IE打不开了，我一连点击开五个IE窗口，一个也打不开，在任务管理器中，能看到IE进程，但IE进程被阻塞！ 我立即重启，情况依旧。IE被黑！原因不明。 因为上班，早晨没更多时间，也就暂时不管了，没有再处理了。 上班到了公司，公司的电脑早因黑客软件的问题，运行极慢，想到家里的电脑又中招了，心里极度不爽。正值这几天事情不多，就跟上司打了一个招呼，重装公司里的电脑。 没想到，我又掉入一个更深的陷阱。在安装过程中的一个误操作，竟然导致整个硬盘分区被毁！全部文件丢失。，因为只把D盘的资料备份到E盘，而没有备份到别的机器上。当时，我的头就轰的一声响，完了，我的全部工作文档与开发软件！ 立即换一台机器，查找分区恢复软件，立即安装到我的电脑上，开始紧急恢复，全硬盘磁道扫描！初步估计要10个小时！ 下班了，接朋友电话，帮着搬家，让电脑慢慢处理吧，在朋友家搬完，太晚上，就直接在朋友家住了。 第二天，到公司，看文件恢复的情况，惨了！竟然才恢复20，而我要找的文件根本没有。一查原因是，软件运行效率越来越低，运行越来越慢，照此下去，直到系统资源完全占用，也难以查出来啊！ 我的备份在哪呢？我想起来，前些天，因为自已开发几个小应用软件，当时好象把自已所做的几个关键代码COPY到家里的电脑了！记不太清。 我立即向上司说明情况，回家一趟。 一回家，打开电脑，一查，天佑我也，关键程序都在，虽然是一周前的版本，但却正是在用的最新版本。立即用U盘再备份。 回公司，不再恢复文件了，直接硬盘重新分区处理，虽然许多文档丢失了，但毕竟还三个月前有光盘备份，另外，所有网络程序在服务器上都有一份，关键代码也损失不大，我做过一遍了，驾轻就熟，可以一天内恢复回来。 晚上，公司托管的机房出问题，晚上11点多，通过修改网关，重新编译关键代码程序，为公司挽回了近万元的损失！真的不敢想象，如果没有当时随手无心的一个备份，所有数据丢失，我将面对什么了！想起来就心寒！ 公司的电脑基本上可以用了，但家里的电脑就不知道怎么回事了。这可不能随意重装，里面是我这十年的备份数据，共160G啊！ 七一是周五，晚上回家打开电脑，再打开IE，发现虽然慢了一些，但可以打开了。我用的机器是1G内存，P3-933双CPU，配置很高的，当时是做IDC托管服务器用的机器，还出这种事！仔细一查，发现IE中就增加了两样东西：一个是CNNIC的网络实名，另一个就是博采网摘。我想起来，是因为前一天，无意中进入了博客中国网站，所以才有如此结果。 我鼠标点击一下博采网摘，IE就和死机了一样，很长时间没反映，最后跳出一个登录页面！ 在新增与删除软件栏中找到了网络实名，立即删除！但找不到博采网摘的删除项！ 太晚了，先处理到这，睡吧。 今天是周六，休息，有时间了。早晨再开机，发现CNNIC的网络实名已删除，但博采网摘仍挂在IE右边无法清除，同时，打开IE比正常时都要慢一些，很可能是加入某些不为人知的处理程序。点击博采网摘，打开帮助中心，只看到了如何安装，根本没有如何删除！ 打开博客中国首页，看ICP证，有咨询电话，立即电话咨询。 咨询电话有人接听，我说明了情况，对方说：这是我们加上去的，自动下载，自动安装，不提供删除。如果要删除，请到论坛中去看帮助。 我打开帮助一看，看来不只我一个人受害，还有其它和我一样经历的人。博客客服关于删除软件的内容如下：  http://bbs.blogchina.com/p711068.html ==================================== 博客论坛网友：博客客服发表于05年6月28日20:22    　　您好：  　　插件的卸载  　　.关闭所有IE。  　　.使用任务管理器删除BCUP.exe进程。  　　.打开运行，执行regsvr32-u c:\系统目录\BoCaiToolBar.dll  　　.进入系统目录。  　　（win2000:\\winnt\system32）  　　（win98：\\windows\system）  　　.删除BCUP.exe，删除BoCaiToolBall.DLL  　　.打开注册表编辑器  　　删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BCUpdate  　　.删除HKEY_LOCAL_MACHINE\SOFTWARE\BlogChina\BC]  　　很抱歉给您带来的麻烦，  　　也感谢您对博客中国的关注！  ============================================ 以我开发程序的经验看来，反安装软件其实就只是一个小软件，一个熟练的软件员几分钟就可以开发完成。但博客中国出于某种不可知的原因，拒绝提供！  改注册表是最危险的事情，操作难度较大，要先备份注册表，如果删除出问题，会造成系统崩溃，要用DOS启动下恢复注册表，别说一般上网的人，就是我做了十年的软件开发，也不敢随意改动！除非对Nimda、红色代码之类极其危险的病毒，我才手动来改！ 博客客服一口咬定：软件中绝不含有非法代码。我问：你们的软件经过中国软件注册中心评审，确认是绿色软件，没有黑客功能？博客客服说：没有评审过！ 我也只能一气之下说：博客中国简直就是黑客中国！挂断了电话！ 从提供的删除信息来看，这个软件使用自动下载，不做安装提示，完全强暴式自动安装，不提供删除程序，开机自启动BCUP进程，长期长驻内存且强占3.66M内存，也完全超越了一个简单的静态网摘的功能，此进程完全能不间断运行于整个系统中，能够记录许多用户信息：比如用户浏览了哪些网页，用户一般上网做什么，用户登录了什么信箱，或者用户是否使用网上银行支付等信息。如果按最坏的想法是：这个BCUP进程可以记录用户所有的键盘输入信息，并且通过网络直接发送到远程的某个控制终端！同时，通过用户浏览博客网站时，可以自动通过软激活的方式，搜索、记录或删除用户机器上的全部信息与数据。 从分析的情况来看，这个软件已完全具备黑客软件的全部性质，任何一点问题，都可能由博客中国或破解此软件的第三方恶意嵌入代码，只要用户上网，就可能导致不可预见的结果。而我是经常使用网上银行的，我一直保持使用原装IE，不加入任何第三方工具。所以现在看来，我只能手工删除了！如果手工无法删除，就必须做GHOST恢复，虽然可能会丢失三个月的系统设置数据，但必须保证我的系统安全！ 于是，非常小心的按要求，反安装regsvr32，删除文件，删注册表。删bcup文件时，因bcup能在Kill进程后会自启动运行，所以删除提示正在占用，出错。通过再次Kill此进程，成攻删除bcup文件！完成卸载！再打开IE，完全正常，速度极快！ 从6月28日到今天7月2日，总算完成了阶段性的反黑工作！现在是12:40，一上午又过去了，还没吃早饭与中饭！ 过去了就过去了，说也说了，骂也骂了，没有时间再想这些事情了，应该做一些自已该做的事情了！  原文首发在： http://www.wokankan.com/dairy/guest/diary_view.asp?xh=743506 2005-12-05 14:41:52
colmac 初生襁褓狮帖子:413 注册: 2003-07-10 来自:	分享到：

Art 叱咤花甲狮帖子:3430 注册: 2002-07-07 来自:	发表于： 2005-07-12 23:37 \| 短消息资料字号：小中大 2楼不是吧，这么强
Art 叱咤花甲狮帖子:3430 注册: 2002-07-07 来自:

影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯	发表于： 2005-07-13 07:25 \| 短消息资料字号：小中大 3楼太黑了点了吧！
影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯

hellokiddy 锋芒艾服狮帖子:1762 注册: 2005-04-15 来自:	发表于： 2005-07-13 08:10 \| 短消息资料字号：小中大 4楼
hellokiddy 锋芒艾服狮帖子:1762 注册: 2005-04-15 来自:

韩非初生襁褓狮帖子:49 注册: 2002-05-30 来自:	发表于： 2005-12-05 14:41 \| 短消息资料字号：小中大 5楼不是吧,我怎么卸载不了啊,好多软件提示已经载成功,可是还有会C;\Programe Files\blogmark目录下有一个bocaiToolsbar.dll的文件,而且删除了还会不知道什么时候又出现,弹出窗口也依旧有
韩非初生襁褓狮帖子:49 注册: 2002-05-30 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT