www.wsalc.com的icech:新浪首頁的igame讓我深惡痛絕不已,每次打開新浪首頁都要等上幾十秒鐘,像死機一樣,痛苦。還不知道什么時候igame竟然偷偷的在我的計算機中裝上了!!!所以找來這篇文章,給同我一樣染上新浪igame“病毒”的朋友們:
2004年7月18日晚,打開計算機桌面出現(xiàn)一個名為“新浪游戲總動園”的快捷方式直接連接到新浪http://igame.sina.com.cn/。經(jīng)過研究,是新浪利用了系統(tǒng)漏洞傳播的一個類似于病毒的小插件!產(chǎn)生名為nmgamex.dll、sinaproc327.exe、csrss.exe三個常駐文件,并且在系統(tǒng)啟動項中自動加載。也就是說,如果你不處理這兩個文件,就會自動在桌面產(chǎn)生一個名為“新浪游戲總動園”的快捷方式。不僅僅如何,新浪還將NMgamex.dll文件與系統(tǒng)啟動文件rundll32.exe進行綁定,并且偽造系統(tǒng)文件csrss.exe,產(chǎn)生一個同名的文件與系統(tǒng)綁定加載到系統(tǒng)啟動項內(nèi),無法直接關(guān)閉系統(tǒng)進程后刪除。
試問,作為新浪這樣首屈一指的華人網(wǎng)站盡然做出這種下三濫網(wǎng)站做出的手法,那還有什么網(wǎng)站部可以這樣做呢?這一種做法簡直就是強盜入門的手法,和普通黑客在系統(tǒng)中留一個后門有什么區(qū)別。既然你可以這樣做,那么別人計算機內(nèi)的文件你是否有可以利用這一后門打開?上網(wǎng)的用戶還有隱私么?不想過多評論這一做法,也不想評論國內(nèi)某些大網(wǎng)站像輪奸眼睛那樣的低級推廣做法,希望作為華人驕傲的新浪網(wǎng)立刻停止這一低級的手法來推廣你們的欄目,也為全球華人留一點臉面謝謝!
刪除方法:首先修改注冊表,關(guān)閉名為啟動項:nmgamex.dll、csrss.exe,然后刪除nmgamex.dll、sinaproc327.exe兩個文件,再修改csrss.exe文件為任意一個文件名。從新啟動計算機后刪除修改的csrss.exe文件。
本人計算機為WIN2K操作系統(tǒng),其動項鍵值如下:
一:啟動名稱為:nmgamex_autorun 類型:REG_SZ 鍵值:C:\WINNT\system32\Rundll32.exe NMGameX.dll,LiveProcess/aa
二:啟動名稱為:csrss.exe 類型:REG_SZ 鍵值:C:\WINNT\csrss.exe
文件所在目錄:
csrss.exe c:\winnt\csrss.exe; 正確的系統(tǒng)文件目錄為:c:\winnt\system32\csrss.exe;
cctv5.exe c:\cctv5.exe;
sinaproc327.exe c:\winnt\system32\sinaproc327.exe;
NMWizardA14.exe c:\winnt\NMWizardA14.exe
nmgamex.dll c:\winnt\system32\nmgamex.dll
察看文件NMGameX.dll屬性:在版本項中可以看到如下信息:
備注:SPORT-新浪體育頻道
產(chǎn)品版本:1,0,0,24
產(chǎn)品名稱:NMGAMEN.XEngine
個人用內(nèi)部版本說明:無
公司名稱:NMGameX
合法商標:無
內(nèi)部名稱:NMGameX
特殊內(nèi)部版本說明:無
語言:中文(中國)
源文件名:NMGameX.dll
