BB’s Blog

输入错误的URL时自动跳转到某个站点的病毒

这几天我电脑出现了一个问题,就是输入错误的URL时,会自动跳转到一个JS,源码为 <script type="text/javascript">document.writeln("<title>"+document.domain+"</title>");document.writeln("<frameset rows='100%,*' frameborder='no' border='0' framespacing='0'>");document.writeln("<frame name='MainFrame' src='http://fw.zoname.com/?dn="+document.domain+"&ref="+document.referrer+"&cp="+document.location+"'>");document.writeln("</frameset>");</script> 从该JS找到 fw.zoname.com 这个链接,我 google 下,是一个域名停放交易的平台,名字叫做"卓名网"链接"zoname.com"。该网站有挂木马的历史(也可能是其他站点利用这个JS挂马),其链接"http://fw.zoname.com/?dn=" PR达到5。这种网站是我最为厌恶的。上次我也遇到过类似的情况,那时候是个叫agoga.com 的网站,其解决方案就是清空缓存即可。而这次我清空了所有的缓存,修复了IE都没有反应,于是我ping了一些错误域名,发现该所有的无效域名(包括fanfou.com等被关闭的网站)都会出现下列情况:ping fanfou.com 或者 ping 无效URLPinging fw1.zoname.com [66.96.201.75] with 32 bytes of data:Reply from 66.96.201.75: bytes=32 time=248ms TTL=115也会显示:ping 无效urlPinging 无效url.com [218.85.156.45] with 32 bytes of data:Reply from 218.85.156.45: bytes=32 time=5ms TTL=59218.85.156.45 IP 也是一个服务器的IP。我更换了DNS,还是用移动的G3上网卡连接,都出现了类似的情况。本来我怀疑是电信域名纠错服务器疑似遭遇劫持攻击,可将网线换到另台电脑却一切正常,所以怀疑是自己的上网裸奔的时候有中了什么木马。我想按道理输入无效的url 应该显示"解析错误""无法显示"或者是跳转到电信DNS设置的118114.cn。而转移到另个站点,问题不在电信的域名纠错服务器,又不是DNS问题,那只可能是本地电脑的LSP搞的。可一朋友对LSP测试了一晚上,改了一堆注册表都没有发现问题的所在。彻底无奈了,这种 NDIS filter 忒邪恶,我主要是裸奔也不知道什么时候碰上了,无法找到病源,要不还可以研究下。如果你遇到了类似问题可以回复本文,大家一起探讨。有解决方法也请告诉我:)


Posted by bb, October 7, 2009 分类: 电脑 Computer


Comments(0)