博客中国是中国最大的博客网站之一。没想到,博客中国竟然变身黑客中国!事情经过是这样的:
2005年6月28日早晨起床,第一件事是打开电脑。然后是打开IE浏览器,我感觉比平常慢了许多,等待良久,突然跳出一个自动安装的程序界面,并且自动运行,我以最快速度想点击取消,但来不及了,还没看清是什么软件,就自动安装上。同时,防火墙软件报警是否改注册表,我立即选择否。
没有想到,痛苦的事情发生了!IE打不开了,我一连点击开五个IE窗口,一个也打不开,在任务管理器中,能看到IE进程,但IE进程被阻塞!
我立即重启,情况依旧。IE被黑!原因不明。
因为上班,早晨没更多时间,也就暂时不管了,没有再处理了。
上班到了公司,公司的电脑早因黑客软件的问题,运行极慢,想到家里的电脑又中招了,心里极度不爽。正值这几天事情不多,就跟上司打了一个招呼,重装公司里的电脑。
没想到,我又掉入一个更深的陷阱。在安装过程中的一个误操作,竟然导致整个硬盘分区被毁!全部文件丢失。,因为只把D盘的资料备份到E盘,而没有备份到别的机器上。当时,我的头就轰的一声响,完了,我的全部工作文档与开发软件!
立即换一台机器,查找分区恢复软件,立即安装到我的电脑上,开始紧急恢复,全硬盘磁道扫描!初步估计要10个小时!
下班了,接朋友电话,帮着搬家,让电脑慢慢处理吧,在朋友家搬完,太晚上,就直接在朋友家住了。
第二天,到公司,看文件恢复的情况,惨了!竟然才恢复20,而我要找的文件根本没有。一查原因是,软件运行效率越来越低,运行越来越慢,照此下去,直到系统资源完全占用,也难以查出来啊!
我的备份在哪呢?我想起来,前些天,因为自已开发几个小应用软件,当时好象把自已所做的几个关键代码COPY到家里的电脑了!记不太清。
我立即向上司说明情况,回家一趟。
一回家,打开电脑,一查,天佑我也,关键程序都在,虽然是一周前的版本,但却正是在用的最新版本。立即用U盘再备份。
回公司,不再恢复文件了,直接硬盘重新分区处理,虽然许多文档丢失了,但毕竟还三个月前有光盘备份,另外,所有网络程序在服务器上都有一份,关键代码也损失不大,我做过一遍了,驾轻就熟,可以一天内恢复回来。
晚上,公司托管的机房出问题,晚上11点多,通过修改网关,重新编译关键代码程序,为公司挽回了近万元的损失!真的不敢想象,如果没有当时随手无心的一个备份,所有数据丢失,我将面对什么了!想起来就心寒!
公司的电脑基本上可以用了,但家里的电脑就不知道怎么回事了。这可不能随意重装,里面是我这十年的备份数据,共160G啊!
七一是周五,晚上回家打开电脑,再打开IE,发现虽然慢了一些,但可以打开了。我用的机器是1G内存,P3-933双CPU,配置很高的,当时是做IDC托管服务器用的机器,还出这种事!仔细一查,发现IE中就增加了两样东西:一个是CNNIC的网络实名,另一个就是博采网摘。我想起来,是因为前一天,无意中进入了博客中国网站,所以才有如此结果。
我鼠标点击一下博采网摘,IE就和死机了一样,很长时间没反映,最后跳出一个登录页面!
在新增与删除软件栏中找到了网络实名,立即删除!但找不到博采网摘的删除项!
太晚了,先处理到这,睡吧。
今天是周六,休息,有时间了。早晨再开机,发现CNNIC的网络实名已删除,但博采网摘仍挂在IE右边无法清除,同时,打开IE比正常时都要慢一些,很可能是加入某些不为人知的处理程序。点击博采网摘,打开帮助中心,只看到了如何安装,根本没有如何删除!
打开博客中国首页,看ICP证,有咨询电话,立即电话咨询。
咨询电话有人接听,我说明了情况,对方说:这是我们加上去的,立动下载,立动安装,不提供删除。如果要删除,请到论坛中去看帮助。
我打开帮助一看,内容如下:
bbs.blogchina.com/p711068.html
====================================
博客论坛网友:博客客服发表于05年6月28日20:22
您好:
插件的卸载
.关闭所有IE。
.使用任务管理器删除BCUP.exe进程。
.打开运行,执行regsvr32-u c:\系统目录\BoCaiToolBar.dll
.进入系统目录。
(win2000:\\winnt\system32)
(win98:\\windows\system)
.删除BCUP.exe,删除BoCaiToolBall.DLL
.打开注册表编辑器
删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BCUpdate
.删除HKEY_LOCAL_MACHINE\SOFTWARE\BlogChina\BC]
很抱歉给您带来的麻烦,
也感谢您对博客中国的关注!
============================================
以我开发程序的经验看来,反安装软件其实就只是一个小软件,一个熟练的软件员几分钟就可以开发完成。但博客中国出于某种不可知的原因,拒绝提供!
改注册表是最危险的事情,操作难度较大,要先备份注册表,如果删除出问题,会造成系统崩溃,要用DOS启动下恢复注册表,别说一般上网的人,就是我做了十年的软件开发,也不敢随意改动!除非对Nimda、红色代码之类极其危险的病毒,我才手动来改!
博客客服一口咬定:软件中绝不含有非法代码。我问:你们的软件经过中国软件注册中心评审,确认是绿色软件,没有黑客功能?博客客服说:没有评审过!
我也只能一气之下说:博客中国简直就是黑客中国!挂断了电话!
从提供的删除信息来看,这个软件使用立动下载,不做安装提示,完全强暴式立动安装,不提供删除程序,开机自启动BCUP进程,长期长驻内存且强占3.66M内存,也完全超越了一个简单的静态网摘的功能,此进程完全能不间断运行于整个系统中,能够记录许多用户信息:比如用户浏览了哪些网页,用户一般上网做什么,用户登录了什么信箱,或者用户是否使用网上银行支付等信息。如果按最坏的想法是:这个BCUP进程可以记录用户所有的键盘输入信息,并且通过网络直接发送到远程的某个控制终端!同时,通过用户浏览博客网站时,可以自动通过软激活的方式,搜索、记录或删除用户机器上的全部信息与数据。
从分析的情况来看,这个软件已完全具备黑客软件的全部性质,任何一点问题,都可能由博客中国或破解此软件的第三方恶意嵌入代码,只要用户上网,就可能导致不可预见的结果。而我是经常使用网上银行的,我一直保持使用原装IE,不加入任何第三方工具。所以现在看来,我只能手工删除了!如果手工无法删除,就必须做GHOST恢复,虽然可能会丢失三个月的系统设置数据,但必须保证我的系统安全!
于是,非常小心的按要求,反安装regsvr32,删除文件,删注册表。删bcup文件时,因bcup能在Kill进程后会自启动运行,所以删除出错。通过再次Kill此进程,成攻删除bcup文件!再找IE,完全正常,速度极快!
从6月28日到今天7月2日,总算完成了阶段性的反黑工作!现在是12:40,一上午又过去了,还没吃早饭与中饭!
过去了就过去了,说也说了,骂也骂了,没有时间了再想这些事情了,应做一些自已应该做的事情了!
回复Comments
作者:
{commentrecontent}