奇怪的3721网络实名

网络与通信

高山

闲来无事,在网上与网友闲聊,话题谈到了他前些日子QQ号码被盗的事情。我跟他解释说Oicqthief等盗号软件都是在Windows启动的时候自动加载的,你可以通过注册表来查看自己的电脑启动时到底加载了哪些程序。一边说,自己一边就运行了regedit程序,顺手点开:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]主键,我惊奇地发现了一个可疑的键值:ZASCJRhx=FvDFuZ.exe C:\Windows\Downlo~1\CnsMin.dll,Rundll32(图1)。马上利用“Ctrl+Alt+Del”打开Windows资源管理器,在进程中也发现这个可疑程序的踪迹(图2)。我曾经在别人的微机上见到过此健值,当时都以为是他们浏览恶意网页后的结果,也没有太留意,这次出现在自己的电脑上,颇感意外。

图1
图1
图2
图2

删除该键值以后,重新启动电脑,进入注册表一看,这个可疑的键值又回来了!难道我的机器中毒了?
不过这次它的样子有少许变化:FqyYNB=fKBFXhUv.exe C:\Windows\Downlo~1\CnsMin.dll,Rundll32(文件名字好像是随机生成的)。
这次我的兴趣来了,决定仔细研究一下这个“病毒”。使用Windows的查找功能,发现这个fKBFXhUv.exe是在C:\Windows目录下面,查看这个文件的属性,发现它的说明是:“Run a DLL as an App”,它的源程序名是:Rundll.exe。这下明白了,原来这个“病毒”把Rundll.exe拷贝成另外一个文件名,并加载到那个CnsMin.dll中。接下来我进入C:\Windows\Downlo~1文件夹,选中CnsMin.dll然后删除,Windows提示该文件正在使用,不能删除。重新启动,进入MS-DOS方式,输入cd Windows,然后执行del fKBFXhUv.exe,成功。接着输入cd C:\Windows\Downlo~1,然后执行del *.*,同样成功。
就在这时,我发现C:\Windows\Downlo~1目录下面有个3721子目录,进入一看,怎么也有CnsMinFn.dll?难道这个“病毒”是跟3721网络实名有关?不管它,先删除!重新启动到Windows,在注册表中删除那个可疑的键值,重新启动,可疑的键值终于不再出现了。
为了证实我的猜想,打开浏览器,输入“天极”,浏览器提示不能打开搜索页,果然3721网络实名功能已经失效。进入http://www.3721.com主页面,浏览器提示是否要安装3721网络实名功能,选择“是”。然后再进入注册表看看,果不其然,那个键值又来了!这次变成了:DDvIDL=ctcLbdh.exe C:\Windows\Downlo~1\CnsMin.dll,Rundll32。
现在,真相已经大白,这个“病毒”原来是3721网络实名的主程序。开启了3721实名功能的读者可以进自己的注册表看看,是不是也有类似的键值。奇怪的是3721网络实名干吗非把自己做得这么“鬼鬼祟祟的”?光明正大地把自己写成:3721=Rundll.Exe C:\Windows\Downlo~1\CnsMin.dll,Rundll32岂不更好?
如果大家不想使用3721网络实名,可以按照下面的方法彻底挡住3721网络实名插件安装的骚扰!

1.3721的原理

以Yesky为例。我们看看Yesky首页的HTML代码,有这么一行:

Yesky页面中嵌入该代码后,cnsmin.3721.com这个服务器就会起作用。定期开始骚扰没有安装3721插件的你。

2.屏蔽它的原理

修改本机的Hosts(利用Windows的搜索功能可以搜到该文件,注意该文件是没有后缀的)文件,让cnsmin.3721.com指向任何IP地址。

3.具体做法

修改你机器上的Hosts文件;
添加一行:192.168.1.10 cnsmin.3721.com;
这里192.168.1.10可以是局域网内的某台Web服务器。