顺藤摸瓜——揪出流氓网站群
网络安全
HOSTS反黑文件下载
最新版本:2008.7.28
文件大小:21KB
累计拦截次数:2539(截至2008年7月21日)
全球唯一下载地址:http://www2.shudoo.com/web/f/host.html
使用方法:解压后将HOSTS文件直接覆盖至C:\Windows\System32\Drivers\Etc即可。为防止某些恶意网站或病毒窜改HOSTS,请确保此文件属性为“只读”。
新收录的恶意网站
赌博网站: 19个
钓鱼/诈骗网站:47个
色情淫秽网站: 33个
恶意下载网站:36个
传播病毒网站:204个
恶意网站地址:www.web2234.cn
投诉人数:3263
危害程度:★★★★☆
IP地址: 58.220.235.180
定位:江苏省扬州市电信
恶意网站特征:频繁弹出大量广告窗口,窜改系统锁定浏览器主页。
恶意网站目的:利用间谍软件控制用户电脑,疯狂刷流量敛财。
最近有众多读者向黑榜反映,电脑的IE主页遭窜改并被锁定,频频弹出www.web2234.cn网站和广告窗口,使用多种常见工具都无法修复。接到读者举报后,我们立即展开了调查。
我们对该网站的页面、链接做了详细检测,未发现任何可疑线索,就连其域名Whois信息都被做了隐藏,无迹可寻。看来该网站的幕后黑手是个老手,反侦察能力极强,调查刚开始就没了线索。
接着我们展开了深入地调查,结合IP地址反查域名等手段,终于发现了www.web2234.cn的蛛丝马迹。我们发现该网站与www.265netcn.cn存在很密切的关系。莫非这个www.265netcn.cn就是幕后主谋?
继续深入,果然印证了我们的猜测,对www.265netcn.cn进行分析发现该网站是一个典型的病毒垃圾站。从其down目录中找到诸如“2008.exe”、“1271.exe”等大量不明程序。
将它们下载后在虚拟机中测试,发现它们会窜改注册表及IE主页,同时在系统目录中释放“dxusaxpylkzpl.dll”、“resiifers.ini”等文件,随后自动连接网络弹出www.web2234.cn等导航网站。
而频频弹出恶意导航站则成为这伙歹人用来疯狂刷流量牟取不法收入的手段。最后我们利用多种病毒引擎检测,确定这些文件都是AdWare.Win32.Ejik间谍软件的程序。在这次调查过程中,我们同时还发现了不法分子用来记录此间谍软件下载安装数量的后台(见图),统计显示其下载总数已超过27万人次,受害网民之多令人吃惊,真是丧心病狂!
该间谍软件是通过恶意的.dll文件来弹出恶意网站的,所以一般的恢复IE首页的方法不起作用,要彻底恢复IE首页、不弹出广告窗口就需要用杀毒软件清除该间谍软件。
通过对www.web2234.cn的深入调查,我们牵出一个利用间谍软件传播的流氓网站群,数量有几十个之多,让人触目惊心。我们已将这些流氓网站列入本期HOSTS反黑文件,请大家尽快更新。
小新观点:不少网友反映IE遭恶意网站窜改后用了各类修复工具都无法彻底修复,往往是费尽周折刚修复好,重启后又被窜改,甚为苦恼。遇到此类顽固恶意网站时,极有可能是间谍软件在后台作怪,它一旦发现注册表相关项目被用户修复,便立即再次窜改。遇到这种情况最好是利用杀毒软件或者反间谍软件清除间谍软件,再用相关修复工具修复系统。
举报网站鉴定
读者 xiangkuang:我最近收到一封腾讯公司的邮件,说是ccov.org.cn/qq.com举办Q币欢乐送活动,可以免费领取Q币。我看地址似乎是腾讯的,页面也做得很华丽,难道是真的?
小新分析:不可信!这是一个盗取QQ账号的钓鱼网站。尽管页面制作华丽,域名看着也像腾讯官网,但是ccov.org.cn/qq.com不是qq.com,这个域名其实是ccov.org.cn,切莫参加此类活动以免QQ被盗。
鉴定结果:不安全
读者 xinyu:我在淘宝站内信里收到一个中奖通知,还附有验证码,说是去www.taobao-800vip.cn输入验证码后就可以兑奖,这网站看起来和淘宝一模一样,是真的吗?
小新分析:这也是一个钓鱼欺诈网站,页面仿照淘宝。近期利用淘宝站内信功能发送所谓中奖的诈骗信息有上升趋势,请大家务必注意提防,凡链接不是www.taobao.com的淘宝有奖信息均为欺诈信息。
鉴定结果:不安全