Discuz!NT|BBS|论坛

注册

 

发新话题 回复该主题

大家小心”百度“病毒~!!!! [复制链接]

1#

大家小心”百度“病毒~!!!!

百度.com的恶意ie插件病毒,用baidu的朋友小心
我一直不知道,直到今天看到这篇文章,然后查一下系统
和注册表,果然是这样子。我以前还一直纳闷,为什么防火墙
报告rundll32.exe这个系统进程老是试图连接网络。
baidu.com这个公司后台很硬,上次政府把google.com
的dns换成baidu.com就是这个公司幕后指使的。说不定你浏览
网站的时候,你的重要信息已经被baidu.com收集了。大家
一定要小心。很多网友私下传播反动信息,被警察带走,估计就与这有关。
另外,就算你不浏览baidu.com也没用。很多国内网站给baidu.com
打广告,会自动给你装上这个恶意插件。防不胜防。唯一办法
就是按这篇文章所说的方法做,彻底清除,一劳永逸。

“百度插件病毒”深度分析,一个比3721还恶心的东西。

来源:安全焦点
主题:百度插件病毒”深度分析

最近发现在浏览一些网站时,会不知不觉的被安装上一个来自百度公司名为“ie搜索伴
侣”的ie插件。
这个插件极为怪异,有时的签名是baidu.com,有时的签名是gaoling interactive
information technology corporation limited,不仅偷偷摸摸还极为霸道,3721一
类的ie插件还几天弹一次,百度的这个插件却每分每秒无时不刻的在疯狂弹出,让人防
不胜防。

百度插件开机自动运行“bie”进程,拖慢上网速度,使系统运行极不稳定,在有的杀
毒软件论坛里用户在声讨这个插件,很多网友发现百度插件安装后不经用户许可就删除
用户硬盘数据和注册表项,致使一些软件无法正常运行,更可怕的是百度这个叫
“bie”的后台程序隐藏运行,在系统配置程序里删不掉,其对应的注册表项删除后又
自动恢复,与病毒的特征完全一样。在金山毒霸的论坛里还有用户反应百度插件与中国
游戏中心在线客户端、影音卫士等软件冲突,关机时经常会致使ie出错。

通过分析这个软件的源码可以看出,这是个一个写得很粗糙的windows应用程序
#include "windows.h"
#include "winbase.h"
void main()
{
char buf[max_path];
::zeromemory(buf, max_path);
::getwindowsdirectory(buf, max_path);
char filename[max_path];
::zeromemory(filename, max_path);
strcpy(filename, buf);
strcat(filename, "\downloaded program files\bdplugin.dll";
::movefileex(filename, null, movefile_delay_until_reboot);
::zeromemory(filename, max_path);
strcpy(filename, buf);
strcat(filename, "\downloaded program files\bdhelper.dll";
::movefileex(filename, null, movefile_delay_until_reboot);
::zeromemory(filename, max_path);
strcpy(filename, buf);
strcat(filename, "\downloaded program files\bdsrhook.dll";
::movefileex(filename, null, movefile_delay_until_reboot);
::zeromemory(filename, max_path);
strcpy(filename, buf);
strcat(filename, "\downloaded program files\bdex.dll";
::movefileex(filename, null, movefile_delay_until_reboot);
}

但这个百度ie插件用正常的卸载方法根本不能完全卸载,下面给大家介绍完全卸载这个
插件的详细方法。
由于这个百度ie插件是使用rundll32.exe调用连接库的,系统无法终止rundll32.exe进
程,所以我们必须先重新启动计算机,按 f8 进入安全模式(f8 只能按一次)之后,
单击 开始 -> 运行 regedit打开注册表,进入:
hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun删除键:bie 其键值为:rundll32 c:winntdownlo~1bdplugin.dll,rundll32(如果
是win98,这里的 c:winntdownlo~1 为 c:windowsdownlo~1)
hkey_local_machinesoftwaremicrosoftinternet
exploreradvancedoptionsaccessibility
删除键:bdsearch,此键在 internet 选项 -> 高级 中加入了百度ie搜索伴侣的选
项。
hkey_classes_root
删除键:bdhlprobj.bdhlprobj
删除键:bdhlprobj.bdhlprobj.1
删除键:bdhook.bdsrchhook
删除键:bdhook.bdsrchhook.1
删除键:bdhook.urlbdhook
删除键:bdhook.urlbdhook.1
删除键:bdplugins.interceptor
删除键:bdplugins.interceptor.1
hkey_classes_rootclsid
删除键:{bc207f7d-3e63-4aca-99b5-fb5f8428200c}
删除键:{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
hkey_classes_roottypelib
删除键:{ce7c3ce2-4b15-11d1-abed-709549c10000}
hkey_local_machinesoftwareclassesclsid
删除键:{bc207f7d-3e63-4aca-99b5-fb5f8428200c}
删除键:{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
hkey_local_machinesoftwareclassestypelib
删除键:{ce7c3ce2-4b15-11d1-abed-709549c10000}
hkey_local_machinesoftwaremicrosoftcode store databasedistribution units
删除键:{bc207f7d-3e63-4aca-99b5-fb5f8428200c}
删除键:{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
删除完注册表中的项之后,还需要删除存储在硬盘中ie搜索伴侣的文件。
删除如下文件:c:winntdownlo~1 目录下(98下为 c:windowsdownlo~1 下同)
bdex.dll 24576 12-25-02 11:43
bdplugin.dll 49152 12-25-02 11:44
bdsrhook.dll 32768 12-25-02 11:45
bdhelper.dll 36864 12-25-02 11:52
bdsearch.inf 1507 12-28-02 9:48
以上文件全部删除,这样百度ie插件就基本上从你的计算机中全部清除了。最后,重新
启动计算机,进入正常模式就不再有百度插件的侵害了。

下面是完全禁止百度插件的方法:
完全删除百度插件之后,用windows自带的记事本打开hosts文件(hosts文件是windows
里面自带的将主机名称映射到 ip 地址的一个文本格式的文件,hosts表位置,win9x系
列在c:windows,nt、win2000平台在winntsystem32driversetc,winxp平台在
windowssystem32driversetc,如果找不到就查找一下hosts)

加入以下字符(ip和域名之间用一个空格间隔开):

127.0.0.1 bar.baidu.com
127.0.0.1http://www.baidu.com/
127.0.0.1 baidu.com

保存的文件名为hosts(注意不要加任何扩展名),怎么样?再也看不到百度插件的对话
框了吧?
同理,用hosts文件还可以对付网页中的广告。现在很多大型网站,都有专门存放广告
的主机,查看网页的源代码,就可以知道广告文件存放在哪台主机上,然后用hosts文
件解析这台主机的ip,就可以把这些广告拒之门外了。 这个方法不足的地方就是无法
访问百度网站,不过我们都使用google(www.google.com),百度网站也没有访问的价
值。

另外如果有用netcaptor、myie、qq浏览器等多页面浏览器的网友也可以把:
http://www.baidu.com/ 202.108.250.228
bar.baidu.com 202.108.250.204
这些添加到黑名单,
把c段封杀
202.108.250.*
---------------------------
附件附上hosts:
# copyright ? 1993-1999 microsoft corp.
#
# this is a sample hosts file used by microsoft tcp/ip for windows.
#
# this file contains the mappings of ip addresses to host names. each
# entry should be kept on an individual line. the ip address should
# be placed in the first column followed by the corresponding host name.
# the ip address and the host name should be separated by at least one
# space.
#
# additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ''#'' symbol.
#
# for example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost
127.0.0.1 bar.baidu.com #百度ie插件
127.0.0.1http://www.baidu.com/ #百度ie插件
127.0.0.1 baidu.com #百度ie插件
分享 转发
骑上墙头等红杏~~~!!!
TOP
2#
标 题: 【总结】关于3721
发信站: BBS 水木清华站 (Thu Mar 18 20:26:28 2004), 转信

昨天中了3721,刚刚搞定,发现这个垃圾简直做得太精品了!总结一下
1. 他给的卸载程序纯属扯淡,运行后该留下的一个都没少
2. 他会启动在%windows%/download programs files/下边留有几个dll,下边还有一个名叫3721的目录,里边也是一堆dll。
3. 他会在系统自动启动项里加入一项Cnsmin,就是"rundll32 CnsMin?.dll"(路径名就不写了,就是上边那个download目录);
4. 启动的这个进程会做维护注册表里有关3721的信息;维护启动项。就是说只要这个进程在,你对注册表、启动选项做得有关3721的一切都是徒劳的;你删除那些dll的工作也是徒劳的
5. 这个进程被杀掉后会自动重启(安全模式也是一样)
6. 这个最变态,我在Linux下讲上边download目录删掉之后启动XP,发现一切照旧!dll都在,进程照起。所以有另一个东西在维护他们
7. 这个东西是什么呢?在我发现之后我告诉你,我简直没办法理解3721这拨人是个什么心态,丫们简直就是专门研发病毒的。他们居然在windows/system32/drivers/里边加了一个文件CnsMinKP?.sys。这样系统每次启动的时候都会把这个.sys Load进来!这个.sys干什么的大家应该能够猜出七八分,我只想说:这时如果你是用安全模式启动的话,你可以亲眼看到你的系统是怎么被3721强奸的!
8. 重新进入Linux,把那几个dll删掉,把CnsMinKP?.sys删掉,重启XP,终于看到了我盼望已久的无法找到CnsMin?.dll的错误。用精华区里介绍的Spybot删掉了注册表里3721留下的垃圾,这个世界终于清净了…………(整个过程在断网情况下进行,所以我并不知道联网有没有影响,我估计没有)
9. 上边说的这些很大一部分精华区里都没有提及,所以我想,是不是3721升级了?不管怎么说,把一个“病毒”做成这样也真算敬业了,我只想对3721这拨人说:你们这群王八蛋应该把这些心思用来做正经事!还有一句,×你们大爷!  

--------------------------------------------------------------------------------
骑上墙头等红杏~~~!!!
TOP
3#
上面的内容是我转帖的,我没有尝试清除,所以不知道方法究竟正确与否,如果你要清除,最好请先确定~~~或者备份系统~
骑上墙头等红杏~~~!!!
TOP
4#
up
p3 500, 64 + 128MB, 13.3" 40g(5400) 100mbps 24xCDROM, 4 Years /* ---------------------- */
TOP
5#
确实该注意~
骑上墙头等红杏~~~!!!
TOP
发新话题 回复该主题