October 31
近来秋寒已至,请同志们做好防御工作,有美人的抱美人 ,有帅哥的抱帅哥,暂时没有的请抱暖水瓶,实在没有暖水瓶的,请抱煤气罐(注意要点燃)。请勿乱抱鸡鸭等动物,以防禽流感。该南飞的南飞,该换毛的换毛,实在不行的就冬眠。
October 30
生命中可以创造奇迹,对吗?
我的生命刚开始,我要学会创造奇迹.
Passion In Life, new wonder begins.
October 06
表妹的计算机中招了,我本来让她找她公司的IT部门,不要老想着节约成本,放着好好的资源不用.结果她公司做IT的还没有上班,该放几天,绝对休息几天.厉害!!
中招的计算机,无非就是偷点QQ、游戏密码等关键的东东,还不时的借助QQ发送些垃圾广告,比如: XXX公司因业务需要现招聘可长时间在线上网的工作人员 操作简单月工资1千到5千元不等 试用3日 联系QQ714XXX.哦~~~~~~~~知道了,这是QQ病毒,俗称QQ尾巴.
我先让表妹使用Ewido和360度安全卫生查杀一下,结果还有几个顽固的木马没清理干净.结果通过远程上去一看,进程里挤了五六个木马的EXE。能清理干净才怪。360安全卫士虽然查出来,杀的时候要求重启后才能清除,但试了几次还是不凑效。没办法,只能借用人工了。人工的智慧还是挺强大的!
具体的操作过程我就不用细说了,我把大致的思路说一下。
1. 用Autorun.exe这个工具查看了一下系统启动和EXPLORER加载的所有程序,特别留意一下数字签名不是Microsoft的程序。结果删除/禁用了几个可以删除/禁用的,那些删除完后还会自动产生的项,只能进注册表看看。
2. 发现HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下吊了不少东西。删除后,马上自动加载。
值 0
名称: {E3F426F6-8634-42A5-A29E-BC694A88FB7D}
类型: REG_SZ
数据: Extr rising hook MHTX000
值 1
名称: {4859245F-345D-BC13-AC4F-145D47DA34F4}
类型: REG_SZ
数据: avzxdmn.dll
值 2
名称: {8DFA2904-9664-43AE-8929-4347554D24B6}
类型: REG_SZ
数据: Extr rising hook CS
值 3
名称: {A393C2CF-1C26-4309-9765-13B7FDC0F200}
类型: REG_SZ
数据: Extr rising hook MY222
值 4
名称: {28907901-1416-3389-9981-372178569982}
类型: REG_SZ
数据: kawdbzy.dll
值 5
名称: {334345F1-DACF-3452-CB7D-4620F34A1533}
类型: REG_SZ
数据: rsztcpm.dll
值 6
名称: {444D7AB0-639D-445F-9143-3B3FFB2A7F39}
类型: REG_SZ
数据: Extr rising hook DH333
值 7
名称: {18847374-8323-FADC-B443-4732ABCD3781}
类型: REG_SZ
数据: sidjazy.dll
值 8
名称: {57D81718-1314-5200-2597-587901018075}
类型: REG_SZ
数据: kaqhezy.dll
值 9
名称: {3C87A354-ABC3-DEDE-FF33-3213FD7447C3}
类型: REG_SZ
数据: kvdxcma.dll
值 10
名称: {2598FF45-DA60-F48A-BC43-10AC47853D52}
类型: REG_SZ
数据: rarjbpi.dll
值 11
名称: {66650011-3344-6688-4899-345FABCD1566}
类型: REG_SZ
数据: ratbfpi.dll
值 12
名称: {2960356A-458E-DE24-BD50-268F589A56A2}
类型: REG_SZ
数据: avwlbmn.dll
3. 怎么办?刚开始是想弄个只能读,不能写,但能删的权限。但是弄来弄去没弄成功。干脆把事做绝,下手要狠点,让任何人(连System)都不能访问。这样可以确保程序不再启动。
4. 这些木马程序不再启动了,那就好删除了。去C:\Windows\system32下去相应找找,并且注意,每一个DLL文件都会对应一个字符串相类似的EXE文件,这些EXE文件都是隐藏的。
5. 把那些文件删除了,后来发现还有一个很可疑。就是在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows下有个叫AppInit_DLLs,老删除不掉。后来才发现(外加字面上的分析),这东东和IE同时工作。AppInit_DLLs对应的是kvdxcma.dll这个文件,这个文件是什么呢?跟上面的那些文件一样,Symantec把它们叫做Infostealer.Gampass [http://securityresponse.symantec.com/avcenter/cgi-bin/virauto.cgi?vid=40673]
Infostealer.Gampass is a generic detection for a Trojan horse that steals online game accounts, such as Lineage, Ragnarok online, Rohan, and Rexue Jianghu.
Note: Virus definitions dated November 17, 2006 or later may detect this threat as Bloodhound.KillAV.
Bloodhound.KillAV is a heuristic detection for malicious software that attempts to end security-related processes.
6. 同样用权限设置的方法删除kvdxcma.dll。到最后,还是不放心,用360安全卫士扫描一下,没发现木马。还是不放心,跑到http://www.trendmicro.com/hc_intro/default.asp做了一下在线扫描。又发现7个病毒和1个间谍程序。都删除后,计算机恢复正常。
总结:对于没有安装防毒软件的计算机,怀疑计算机感慨了病毒或木马,都可以直接通过免费的在线扫描解决,不用像我这样,可省去很多人力物力财力精力和时间。到最后,把查出来的文件直接删除便可。不过要小心误删。
如果你安装了杀毒软件的体验版,评估版等等,总之不能升级的,结果就是:没有!形同虚设。防毒软件与病毒木马都在共同前进。
如果你安装了杀毒软件的正式版,可以升级,但没有通过人工进一步设置,防毒软件的功能会大打折扣。建议用户设置:当防毒软件遇到病毒时,直接清理,不能清理直接删除!不需要搞什么隔离之类。放心,防毒软件要是喜欢误删文件,特别是关键文件,除非这个安全产品的厂商不想吃饭了。用户怎么办? 好办,索赔!就这么简单。索赔到它裁员为止。:)
安全产品不是万能的,就像360安全卫士,只能查到部分而已。系统不干净,安全威胁随时而来。
本次解决过程遇到以下间谍程序(不全):
2007-10-06 11:05 15103 14690 avzxdst.exe
2007-10-06 11:05 61 61 avzxain.dll
2007-10-06 11:05 62 62 ratbani.dll
2007-10-06 11:05 14261 13852 kvdxcis.exe
2007-10-06 11:05 60 60 kvdxacf.dll
2007-10-06 11:05 13899 13487 kaqheaz.exe
2007-10-06 11:05 52 52 kaqhacs.dll
2007-10-06 11:05 15313 14902 rsztcsp.exe
2007-10-06 11:05 58 58 rsztafg.dll
2007-10-06 11:05 15044 14638 avwlbst.exe
2007-10-06 11:05 57 57 avwlain.dll
2007-10-06 11:04 14463 14049 rarjbtl.exe
2007-10-06 11:04 60 60 rarjani.dll
2007-10-06 11:05 13995 13585 kawdbaz.exe
2007-10-06 11:05 58 58 kawdacs.dll
2007-10-06 11:05 60 60 sidjacs.dll
2007-10-06 11:05 13482 13067 sidjaaz.exe
2007-10-06 11:05 13828 13410 ratbftl.exe
2004-08-04 15:18 20064 9940 kvdxcma.dll
另外注意一下C:\Program Files\Internet Explorer\PLUGINS理的文件夹下的.SYS文件.正常情况下是该文件夹内是没有.SYS文件的.
希望这篇文章能够帮助遇到此类问题而头疼的朋友。
October 05
据说这个东东可以轻松管理网吧,机房等一大堆计算机,其中提供了用户权限控制,硬盘保护等功能. 早在四五年前有这款软件就好了,我管理学校的机房就不用那么痛苦.
以下是相关的介绍,有兴趣的朋友可以通过搜索试试这款软件.
我喜欢这样的文字,因为他说的是事实. 什么叫事实? 就是大家有目共睹的事情,而不是像那三个长得像"大学生"的"托"睁着白眼说出来的瞎话.
腾讯QQ2007正式版发布了,但我还是依然在寻找能够替代它的珊瑚虫版.虽然现在没找到,但我相信珊瑚虫倒下,一定还会有更多的"珊瑚虫"新生出来. 暂时只能用用功能有限的飘云版.
说到珊瑚虫QQ里捆绑恶意软件,我笑了.大家看看官方腾讯QQ2007上,捆绑的是什么?
最近由于网上一段视频的广为流传,珊瑚虫作者陈寿福被抓的这次事件引起了热烈的讨论。虽然评论文章们尽力显得客观公正,但显而易见的,大家都被一只无形的手在引导着。
作为陈寿福的朋友,我不得不站出来说几句,不管被认为枪手也罢,被骂也罢,我不出来说话就他妈的不够朋友。
1、视频为深圳市电视台做的节目,陈寿福衣服胸前的字是南山看守所(深圳市南山区看守所),出现的警官是南山区公安分局的警官,腾讯总部就在南山区,视频中的三个枪手等等,这些所有的迹象表明,其实整个事件就是腾讯公司利用其在公司所在地区的影响力精心策划了这一切。如果还有怀疑,请看视频的第一个画面,也就是字幕是“修改软件程序的笔记本电脑”这一个画面。作为陈寿福的朋友,我负责任的告诉大家,这个画面是在陈寿福的家中,也就是在抓捕陈寿福的时候拍摄的。试问如果不是精心策划,一个普通的案件何以需要在第一时间就由媒体介入。
腾讯为何有能力策划整个事件?答案也很简单:腾讯一年上税几亿,作为纳税大户其政治影响力不可小视。最早网上有一则消息说腾讯以办公住所搬离深圳来威胁政府,虽说此说法明显就是无厘头的猜测,却也在不经意间道出了其中的道理。政府为了能把腾讯这颗摇钱树留在深圳,当然也会不惜一切代价的替腾讯出这口恶气。
2、视频显然是腾讯公司自编自导自演的悬疑片,当然借用的是深圳某电视台的视频设备,如果腾讯公司以后向演艺界发展了,这些设备都可以省了。片中多处误导公众,我来一一为大家指明:
A)片中一直将软件称为珊瑚虫QQ,其实最早陈寿福开发的软件确实称为珊瑚虫QQ,也确实是直接修改了腾讯QQ程序,不过那时的陈寿福还是学生,根本不懂法律。而2002年以后,珊瑚虫QQ就已经不存在了,陈寿福是一个言而有信的人,当年腾讯在要求陈寿福写过一个保证书之后,无论有多少诱惑,他都没有再去修改腾讯公司的QQ软件。取而代之的是他写的一个程序叫做腾讯QQ珊瑚虫增强包,这个增强包完完全全是一个独立的软件,没有修改一丝一毫腾讯的程序,采用的是外挂技术。了解技术的人都知道,无数优秀的软件都采用了外挂技术,最常见的就是大家都在使用的各种杀毒软件。陈寿福用外挂技术开发的这个独立的珊瑚虫增强包软件,给腾讯QQ增加了屏蔽广告、显示IP、老板键等实用功能,得到了广大用户的喜爱,腾讯公司自己也承认,高峰时刻有1/3的用户在使用珊瑚虫增强包,可以说珊瑚虫增强包为腾讯公司的发展立下了汗马功劳,按中国的传统文化说,他是有恩于腾讯公司的人,腾讯公司今日所为,是典型的恩将仇报,实在是忘恩负义的小人。
B)片中一直将软件称为珊瑚虫QQ,而断然不提珊瑚虫增强包,真是司马昭之心,路人皆知。后面的画面中,陈寿福自己称换了一种方式,改为采用外挂方式开发后,而片中直接就将其定性为陈某换了一种侵权的方式!首先案件还没有经过审理,法院也还没有判,他的这种行为是否侵权还没有定;其次,查遍当今法律界案例,还没有说通过外挂技术开发就是侵权行为。该视频直接定性的宣传,就是误导对知识产权法不太清楚的公众,这种做法是真正的亵渎法律。!
C)片子明显的剪辑,显而易见是为了对陈寿福的采访断章取义、偷换概念。在陈的话还没有说完的时候片子就直接跳到采访警官的画面,顺着之前陈的话直接将结论引导到有利于腾讯公司的一面。更加过分的是,陈讲自己的行为仅仅是违法行为的时候,片中的字幕竟然加上了“(犯罪)”,并且在后面的旁白中直接就称“陈某在犯罪的道路上越陷越深”。懂法律的人都知道,违法行为和犯罪行为完全不是同一个层次的。我们骑自行车逆行闯红灯也算是违法行为,顶多罚5块钱,可犯罪行为就是要蹲监狱坐牢的了。在司法部门没有任何结论之前片子就这样表述,其用心何其险恶!
D)三个不知道哪里找的学生枪手实在是太恶心了,而腾讯公司的人出来如果不为自己的公司说话脑子就是有问题了,这些大家肯定看的明白,我这里不做评论。不过片子为啥光找反对珊瑚虫的人和腾讯的人出来说话,为啥不从珊瑚虫5000万用户中找几个人出来说话?为啥不找陈寿福学校的同事、学生出来说话?作假也不做的专业一点,真是可悲!可恨!
E)再继续说,片中多处将陈寿福描述成一个为了利益不惜违法犯罪的恶人,甚至某个sb枪手还将其与流氓软件挂钩,真是无耻!陈寿福从2000年还是一名学生的时候就开始无私的为网友奉献比腾讯QQ好用的珊瑚虫,一直坚持做了7年!稍微了解互联网的人都知道,05年之前的互联网哪里有钱可赚?陈寿福完全是为了广大网友的利益和自己的兴趣在做事,这段时间别说赚钱,为了网友能够更加快速的下载,租用服务器带宽自己投入的钱就有多少?好在这个家伙没有任何其余爱好,除了吃饭睡觉没有其它花销,就这么穷酸的度过了5年。
2005年后的互联网风气变了,大批的国外风险投资涌入中国,各种推广方式开始盛行,流氓软件也开始悄悄攻占用户的系统。这段时间,片中陈寿福自己也说,受到了一些人的诱惑,其实除了诱惑还有威逼,这些互联网行业的大佬们手里拿着钱,一副“敬酒不吃吃罚酒”的表情,弱小的自由软件开发者又能有什么办法?总之珊瑚虫软件开始为一些网站或者软件做推广,采用了捆绑下载的方式,但绝不是某sb枪手说的捆绑流氓软件!在这件事情上他很有原则,所有捆绑的插件首先可以选择安装,其次可以完全删除,否则不做。我自己曾经介绍的几个朋友的软件都被他拒绝了。这点我非常钦佩他,也理解到其实珊瑚虫就像是他的孩子一样,他不希望自己的孩子背负不好的名声。所以我再次严重鄙视某些枪手,被人利用所以无知!信口胡说所以无耻!
在05年的这种风气下,各大下载网站都在各种软件的下载中捆绑推广插件,而且是来者不拒,多多益善。有利益的地方就会有矛盾,矛盾会升级为战争,战争中就会有威胁和利诱,也会有抗争和妥协,很多情况下陈寿福的决定也是被逼无奈,在如此的大环境下,能够做到此地步已经非常不易了。
F)片中的警官大讲国家培养陈寿福多年,为此犯罪嫌疑人感到惋惜。我他妈听了怎么觉得这么不舒服,好像陈寿福除了违法就没干正经事?又是误导大众!我一定要还原一个真实的陈寿福给大家:
陈寿福在04年北京理工大学毕业后就留校做了老师,刚开始是留在计算中心做管理工作,并且带一个班的班主任,还教授一些例如《程序设计实践》的课程。因为工作能力突出,在05年他就被任命为计算中心主任,是学校历史上最年轻的主任。他从大一开始带的班集体,成绩一直名列全院第一,06年被评为了全北京市优秀班集体。他教授的课程寓教于乐,学生们都非常崇拜他。另外学校的多个管理系统、校内最大的论坛“北理FTP联盟”、校内最大的软件下载网站“155软件站”、音乐下载网站“把耳朵叫醒”等,都是他利用业余时间开发的,他对学校作出的无私的贡献不可估量。所有的这一切大家随便找个这个时期理工大学的学生了解一下就能证实。
所以说陈寿福在生活和工作中不但不是一个令人惋惜的罪犯,相反他是一个非常有个人魅力的人,朋友无数。人品正直,乐于助人,是大家对他公认的看法。好在深圳的公安没有把百度的博客服务器搬走,有空大家可以看看陈寿福的个人博客 hi.baidu.com/soff
3、关于案件本身,我也讲一下我的观点。了解情况的人可能都知道,腾讯公司在06年曾经与陈寿福进行过民事官司。当时陈寿福直接接到的就是一张法院的传票,腾讯之前无任何的主动沟通。在法律规定的庭前和解期内,陈寿福主动找腾讯沟通寻求和解,对方开口就是赔偿50万元,而且没得商量。这次民事的官司是在北京而不是腾讯的老巢深圳,北京的法官还是明事理的,至少是中立,法官主动帮陈寿福做腾讯的工作,说你们一个这么大的公司何必和一个老师这么过意不去,结果腾讯还是不让步,非置陈寿福于死地。此时的陈寿福已经是采用外挂技术开发独立的珊瑚虫增强包了,并不亏理,没办法,官司打就打吧。陈寿福请的律师太差,我看完这位老兄的辩护词差点没气死,导致最终结果就是法院判陈寿福败诉,赔偿10万元,但实际上仅仅判定是陈寿福网站上提供了腾讯QQ的下载而导致侵权,而对腾讯公司提出的陈寿福开发的外挂与腾讯公司进行不正当竞争的说法予以驳回。陈寿福爽快的支付了赔款,并在网站上道歉以及公布赔款截图,希望与腾讯公司化解矛盾,尽快了结此事。
具体判决书网址如下:http://bjgy.chinacourt.org/public/detail.php?id=43944&k_w=陈寿福
关于判决结果,我分析如下:
首先开发外挂并不构成侵权,法院驳回了腾讯公司的请求。这就说明采用外挂技术开发的珊瑚虫增强包并不构成侵权,在里面捆绑插件、广告也没问题。
其次侵权的是珊瑚虫网站上提供了将腾讯QQ的下载。但照法院这种说法,其实各大下载站点都是侵权的,因为大家都提供了腾讯公司QQ以及无数各种软件的下载。各大网站站长们都要小心了,不要再加什么常用软件下载方便网民,尤其是别提供QQ的下载,否则不知道哪一天你也会收到一张传票,也得赔50万。特别是软件下载站的站长们,你们不但提供QQ下载,还将下载按钮隐藏在无穷无尽的广告中,不但告你侵权,还得告你非法牟利。
陈寿福原本是将腾讯QQ原版和珊瑚虫增强包打包在一起供用户下载,初衷是方便用户使用,不需要单独下载两次,为了充分尊重腾讯的著作权,还特别命名为“腾讯QQ2006珊瑚虫版”,著作权声明的很清楚。这就像是上飞机前免费领取报纸杂志,什么晚报、信报、京华时报都是摞在一起放在一个台子上,走过去拿上就走,如果非要分三个台子放,每个人非得跑三个地方才能都拿到,如此设计的人估计早被旅客的骂声吵死了,或者被口水淹死了。
用户下载了腾讯QQ2006,送一个珊瑚虫增强包,或者反之讲也可,反正两个都是免费的,这本是互联网上常见的事。不过既然腾讯不高兴,陈寿福还是尊重腾讯的意见,撤除了珊瑚虫网站上的原版下载,只留下了增强包的下载。
陈寿福本身网站已经不提供下载了,也就不侵权了。不过别的下载站仍然在提供腾讯QQ珊瑚虫版的下载,也就是原版加增强包的打包下载版。我想法院既然判陈寿福不能下载,没有判陈寿福不能打包,再者说也不一定是陈寿福在打包,应该没有法律问题了吧,否则就是法院自己抽自己嘴巴。
总结:
这次腾讯精心策划,动用非常规力量,将本来已经结束的一个民事案件(显然没有达到腾讯目的)升级为一个刑事案件。案子本身虽然还没有最终结果,这个令人反胃的片子已经把我恶心的够呛,从中可以看出腾讯的水平和本性。
我希望提醒广大网民和业内工作者,这次事件已经不是简单的法律事件,最终的结果一定是双方实力对比来主导。腾讯家大业大,又有政府的支持,从其行为可见其穷凶极恶;而陈寿福有什么?他仅仅是一个个体,“腾讯公司”与“个体”对垒的结果可能不言而喻。做为陈寿福曾经深爱着的网民们,我们能做的只有一起烧香,求伟大的如来佛祖和孙悟空下凡帮忙了。
http://www.bullog.cn/blogs/mib/archives/110908.aspx
Tools 
Help
