www.wsalc.com的icech:新浪首頁的igame讓我深惡痛絕不已,每次打開新浪首頁都要等上幾十秒鐘,像死機一樣,痛苦。還不知道什么時候igame竟然偷偷的在我的計算機中裝上了!!!所以找來這篇文章,給同我一樣染上新浪igame“病毒”的朋友們:
2004年7月18日晚,打開計算機桌面出現一個名為“新浪游戲總動園”的快捷方式直接連接到新浪http://igame.sina.com.cn/。經過研究,是新浪利用了系統漏洞傳播的一個類似于病毒的小插件!產生名為nmgamex.dll、sinaproc327.exe、csrss.exe三個常駐文件,并且在系統啟動項中自動加載。也就是說,如果你不處理這兩個文件,就會自動在桌面產生一個名為“新浪游戲總動園”的快捷方式。不僅僅如何,新浪還將NMgamex.dll文件與系統啟動文件rundll32.exe進行綁定,并且偽造系統文件csrss.exe,產生一個同名的文件與系統綁定加載到系統啟動項內,無法直接關閉系統進程后刪除。
試問,作為新浪這樣首屈一指的華人網站盡然做出這種下三濫網站做出的手法,那還有什么網站部可以這樣做呢?這一種做法簡直就是強盜入門的手法,和普通黑客在系統中留一個后門有什么區別。既然你可以這樣做,那么別人計算機內的文件你是否有可以利用這一后門打開?上網的用戶還有隱私么?不想過多評論這一做法,也不想評論國內某些大網站像輪奸眼睛那樣的低級推廣做法,希望作為華人驕傲的新浪網立刻停止這一低級的手法來推廣你們的欄目,也為全球華人留一點臉面謝謝!
刪除方法:首先修改注冊表,關閉名為啟動項:nmgamex.dll、csrss.exe,然后刪除nmgamex.dll、sinaproc327.exe兩個文件,再修改csrss.exe文件為任意一個文件名。從新啟動計算機后刪除修改的csrss.exe文件。
本人計算機為WIN2K操作系統,其動項鍵值如下:
一:啟動名稱為:nmgamex_autorun 類型:REG_SZ 鍵值:C:\WINNT\system32\Rundll32.exe NMGameX.dll,LiveProcess/aa
二:啟動名稱為:csrss.exe 類型:REG_SZ 鍵值:C:\WINNT\csrss.exe
文件所在目錄:
csrss.exe c:\winnt\csrss.exe; 正確的系統文件目錄為:c:\winnt\system32\csrss.exe;
cctv5.exe c:\cctv5.exe;
sinaproc327.exe c:\winnt\system32\sinaproc327.exe;
NMWizardA14.exe c:\winnt\NMWizardA14.exe
nmgamex.dll c:\winnt\system32\nmgamex.dll
察看文件NMGameX.dll屬性:在版本項中可以看到如下信息:
備注:SPORT-新浪體育頻道
產品版本:1,0,0,24
產品名稱:NMGAMEN.XEngine
個人用內部版本說明:無
公司名稱:NMGameX
合法商標:無
內部名稱:NMGameX
特殊內部版本說明:無
語言:中文(中國)
源文件名:NMGameX.dll
