(Minghui.de)

[Notiz des Herausgebers der Clearwisdom-Webseite: Diejenigen, die direkt auf die englische Webseite http://fgmtv.net/ gehen, sollten dieses Problem nicht haben, nur wenn sie diese Seite als Verlinkung der chinesischen Webseite aufgerufen haben.]

Am 2. September Pekinger Zeit wurde entdeckt, dass Hacker Computerschädlinge auf die einzelnen Seiten des Internetauftritts von Fangguangming (http://asp.fgmtv.org) platziert hatten. Techniker beseitigten am Morgen des 3. September Pekinger Zeit den Schädling. Auf der Grundlage von Resultaten der gegenwärtigen Überprüfung wurde der oben genannte Schädling Anfang August eingebaut. Wir empfehlen, dass Leser in China und im Ausland, die den Fangguangming-Internetauftritt und damit in Verbindung stehende Webseiten über den Internet Explorer (IE) während des oben angegebenen Zeitraums gelesen haben, sofort ihr Betriebssystem neu installieren und andere notwendige Maßnahmen ergreifen.

Dieser Schädling leitete Besucher auf eine spezielle bösartige Webseite auf dem Festland China um, wo IE-Sicherheitslücken ausgenutzt wurden, um ein Trojaner-Programm auf dem Computer des Besuchers zu installieren, das die IP-Adresse und andere Informationen des Geräts offen legt und möglicherweise die Vorgänge auf dem Keyboard usw. beobachtet. Anti-Virenprogramme (beispielsweise von Norton) können diesen Trojaner nicht entdecken.

Wenn Sie die Fangguangming-Webseite über den IE von Anfang August bis zum 3. September 2005 besuchten, lud der oben erwähnte Schädling automatisch ein Trojanerprogramm herunter und platzierte es auf Ihrem Computer. Wir raten Lesern, sofort das Betriebssystem des Computers neu zu installieren, um dieses Sicherheitsproblem vollständig zu beseitigen.

o Siehe Anhang für die Schritte zur Überprüfung, ob Ihr Computer von diesem Virus befallen ist.
o Wenn Ihr Computer befallen ist, ergreifen Sie bitte sofort Maßnahmen zur Wiederherstellung der Sicherheit. Wir raten Ihnen zu folgenden Schritten:
o Neuinstallierung des Betriebssystems auf dem PC. Wenn beim Computer ein Back up-Programm mitgeliefert wurde, kann dieses verwendet werden, um den ursprünglichen Zustand wieder herzustellen.
o Ändern Sie Ihre IP-Adresse für den Internetzugang.
o Ändern Sie das Passwort für Ihr E-Mail-Konto. Wenn Sie ein privates E-Mail-Konto von einem der Internetdienste Yahoo, Hotmail oder Gmail anwenden, sollten Sie dieses ab sofort nicht mehr benutzen, um jegliche Überwachung, die von diesen Gesellschaften für die Kommunistische Partei Chinas durchgeführt werden könnte, zu vermeiden.

Wir empfehlen nicht die Verwendung von Software zur Entfernung dieses Trojaners, da er sehr heimtückisch ist. Die Neuinstallierung des Betriebssystems ist der einzige Weg, der die Sicherheit Ihres Computers gewährleistet.

Auf der Qingzhou-Webseite unter http://qingzhou.sytes.net/ (einschließlich aller Auftritte, die sich diesen Domainnamen, wie er von der Qingzhou-Webseite benutzt wird, teilen) wurde das gleiche Sicherheitsproblem festgestellt. Der Zeitraum erstreckt sich von Anfang August bis zum 4. September 2005 am Morgen. Die Administratoren der Qingzhou-Webseite wurden benachrichtigt und schlossen daraufhin diesen Auftritt, um den Inhalt zu reinigen. Wenn Sie während dieses Zeitraumes mit dem Internet Explorer auf die Qingzhou-Webseite gebrowsed haben, raten wir Ihnen auch, sofort die Software für das Betriebssystem auf Ihrem Computer neu zu installieren.

Technische Abteilungen von Clearwisdom.net/Minghui und Fangguangming

3. September 2005

Anhang: Schritte zur Überprüfung Ihres PC:

Die nachfolgenden Instruktionen basieren auf den gegenwärtigen Prüfungsresultaten. Richten Sie sich nach diesen, um zu bestimmen, ob Ihr PC von dem Virus befallen ist. Die Genauigkeit basiert auf unserem gegenwärtigen Überprüfungsstand, der auf die Entdeckung von Trojaner-Programmen ausgerichtet ist.

Es gibt zwei Trojaner-Programme. Eines ist hndylau.exe, das auf beiden Webseiten, auf der Qingzhou- und der Fangguangming-Webseite existierte. Das andere nennt sich ray.exe und war nur auf der Fangguangming-Webseite platziert.

Der erste Trojaner, hndylau.exe, erstellte zwei Dateien in der Systemsteuerung: Ssock32.dll und svch0st,exe. Wenn Sie bei der Suche auf der Festplatte auf diese Dateinamen stoßen, ist es fast sicher, dass Ihr Computer verseucht wurde. Dieser Trojaner sendet die Informationen über den Nutzer des PCs an ein spezielles E-Mail-Konto im Festland China.

Der zweite Trojaner, ray.exe, wurde auf sechs verschiedenen Betriebssystemen auf dem Festland China und im Ausland überprüft. Es wurde bestätigt, dass ein Eintrag von Yzxekttb im Register festgehalten wird und eine Datei mit dem Namen Yzxekttb in der Systemsteuerung eingebaut wurde. Wenn Sie bei der Überprüfung eine Datei mit dem Namen Yzxekttb finden, ist Ihr Gerät sicherlich befallen. Wie sich dieser Trojaner genau verhält, ist noch nicht ganz geklärt. Doch bis jetzt fanden wir keinerlei damit verbundene geheime Wirkungsweisen ähnlich zu „Rootkit”.

Die einzelnen Schritte zur Überprüfung:

Durchsuchen Sie alle Dateien auf der(n) Festplatte(n). Es ist fast sicher, dass Ihr Computer von dem Virus befallen ist, wenn folgende vier Verbindungen bestehen: Yzxekttb, Ssock32.dll, svch0st.exe, ray.exe. Dann ist eine Neuinstallierung des Betriebssystems notwendig.

Von der Start-Funktion aus (welche sich bei Microsoft Windows im linken unteren Eck befindet) wählen Sie „ausführen” aus, und dann schreiben Sie in das Feld „Öffnen” das Wort „regedit”. Dann öffnet sich der Registrierungseditor, mit dem Cursor auf O.K. gehen und anklicken, dann im Menü unter Bearbeiten „Suchen” auswählen und nacheinander nach „Yzxekttb und svch0st.exe suchen. Wenn zu einem der beiden Eingaben ein Ergebnis gefunden wird, ist es ziemlich sicher, dass Ihr Computer von dem Trojaner-Virus verseucht ist. (Es gibt eine Ausnahme: Bei Windows XP müssen irgendwelche Schlüsselwörter unter dem „Suchassistenten” nicht beachtet werden, da dieser Eintrag aufgrund Ihrer durchgeführten Suche nach diesen Verbindungen zustande kam. In Windows 2000 soll folgender Eintrag ignoriert werden: Internet explorer/ExplorerBars/FilesNamedMRU/.)