查看: 4009|回复: 14
收起左侧

[已解决] Downloader.AQM的形成原理和解决方法

[复制链接]
wzxiaofan
发表于 2007-2-23 16:31:16 | 显示全部楼层 |阅读模式
经过本人的认真分析,确定这个“病毒”并不算真正的病毒。AVG Anti-Spyware(Ewido)误报了。关于为何误报,请见最后面的解释。

先把stat[1].html的源代码帖出来(感谢迷途的猪猪提供!^_^)
QUOTE:
var expireDate=new Date();
var hours=expireDate.getHours();
var minutes=expireDate.getMinutes();
var seconds=expireDate.getSeconds();
var now=expireDate.getTime();
function getCookieVal_cnzz (offset){var endstr = document.cookie.indexOf(";",offset);
if (endstr==-1)
endstr=document.cookie.length;
return unescape(document.cookie.substring(offset,endstr));}
function GetCookie_cnzz(name){
var arg=name+"=";
var alen=arg.length;
var clen=document.cookie.length;
var i=0;
while(i< clen){
var j=i+alen;
if(document.cookie.substring(i,j)==arg)
return getCookieVal_cnzz(j);
i=document.cookie.indexOf(" ",i) + 1;
if(i==0)break;}
return null;}
var agt=navigator.userAgent.toLowerCase();
data='&agt='+escape(agt)+'&r='+escape(document.referrer)+ '&aN='+escape(navigator.appName)+'&lg='+escape(navigator.systemLanguage) + '&OS=' + escape(navigator.platform)+'&aV='+escape(navigator.appVersion)+'&ntime=0.79370900 1170182728';
a=GetCookie_cnzz("cnzz02");
if(a!=null){a=parseInt(a);a=a+1;}
else a=0;
data=data+'&repeatip='+a;
rtime=GetCookie_cnzz("rtime");
ltime=GetCookie_cnzz("ltime");
cnzz_eid=GetCookie_cnzz("cnzz_eid");
if(cnzz_eid == null){cnzz_eid=Math.floor(Math.random()*100000000)+"-"+document.referrer;}
if(ltime< 1000000){rtime=0;ltime=0;}
else rtime=parseInt(rtime);
if(rtime< 1) rtime=0;
ltime=parseInt(ltime);
now=parseInt(now);
if(((now-ltime)>43200*1000)&&(ltime>0))
rtime=rtime+1 ;
data=data+'&rtime='+rtime+'&cnzz_eid='+escape(cnzz_eid);
data=data+'&showp='+escape(screen.width+'x'+screen.height) ;
document.write('<a href="http://cnzz.com/stat/website.php?web_id=214306" target=_blank title="站长统计">站长统计</a>');
document.write('<iframe frameborder=0 marginwidth=0 marginheight=0 src="http://v8.cnzz.com/stat.htm?id=214306'+ data +'" scrolling=no width=0 height=0></iframe>');
var lefttime=1000*(86400-hours*3600-minutes*60-seconds);expireDate.setTime(expireDate.getTime() + 500*86400);document.cookie="cnzz02="+a+"; expires="+expireDate.toGMTString()+ "; path=/";
var lefttime=1000*86400*182;expireDate.setTime(now + lefttime);document.cookie="rtime="+rtime+";expires="+expireDate.toGMTString()+ ";path=/";document.cookie="ltime="+now+";expires=" + expireDate.toGMTString()+ ";path=/";document.cookie="cnzz_eid="+escape(cnzz_eid)+ ";expires="+expireDate.toGMTString()+";path=/";


稍微懂html语言的人都知道,此段代码的关键在于
QUOTE:
<a href="http://cnzz.com/stat/website.php?web_id=214306" target=_blank title="站长统计">站长统计</a>
<iframe frameborder=0 marginwidth=0 marginheight=0 src="http://v8.cnzz.com/stat.htm?id=214306'+ data +'" scrolling=no width=0 height=0></iframe>


访问第一个链接,则指向如图所示的网页

第一个网址指向的网页
  

这是用来统计/查看网站流量用的。而该页面的连接,恰恰是指向http://mxd.766.com。迷途的猪猪在回帖中说常访问这个网站。恰好说明:那个stat[1].htm正好是来源于该网站的!

为了证实我的猜测,我特意访问了该网站的首页。查看源代码,发现一处连接,如下图:

冒险岛网站首页的源代码
  

那么,这个连接访问的是哪里呢?把该连接复制到地址栏,结果真相大白!

真相大白
  

上面的代码,看起来是不是有些眼熟?是不是和猪猪提供的代码有些相似?(其实是完全相同的!浏览器只是把该页作为.html文件保存了下来--这牵扯到php和html的关系,不是重点,就不多说了。)?

但是,大家肯定很关心这个问题--这个.html文件有危害吗?
答案是:没有。
这个文件的功能是统计流量的--也可能是用来作弊网站流量的的,看看第一个图里的“专业提升Alexa排名(和网站的流量有关,与你的计算机无关)”就知道了。

还有个问题,AVG Anti-SpyWare为什么会误报?
答案在这段代码上:
QUOTE:
<iframe frameborder=0 marginwidth=0 marginheight=0 src="http://v8.cnzz.com/stat.htm?id=214306'+ data +'" scrolling=no width=0 height=0></iframe>

这段代码通常是用来挂网页木马的,代码里的地址一般就是网页木马的地址。这段代码可以让IE浏览器偷偷地访问那个连接地址,下载木马,并运行!----但是不用担心,此处并没有木马,这是被网站的站长用来进行流量作弊了。^_^

下面这个图就是它偷偷访问的网页:

它偷偷访问的网页
  

解决方法:
你先进入安全模式
开始----运行----输入 cmd ------进入DOS窗口模式
输入 del c:\desktop.ini /f/s/q/a
del D:\desktop.ini /f/s/q/a
总之把所有盘里的desktop.ini都删除
在Temporary Internet Files后加上或者点C盘的磁盘清理上的临时文件,再点查看文件 这个文件夹就出来了 清空除index外的所有文件和文件夹.

评分

参与人数 1经验 +1 收起 理由
ly250094040 + 1 根据版规,加1分以示鼓励

查看全部评分

mmccdv
发表于 2007-2-23 16:36:32 | 显示全部楼层
很有分析的说,不过没看到你所提到的图片.

建议加精,辛苦了.
ahfynjj
发表于 2007-2-23 16:42:48 | 显示全部楼层
LZ辛苦了. 支持下. 别沉了
gaue
发表于 2007-2-23 16:54:42 | 显示全部楼层
提供的好!
sexdll32
发表于 2007-2-23 17:20:01 | 显示全部楼层
对于这个东西个人感觉还是小心点好,这个可以是作弊用也可以是挂马用....
小心驶得万年船啊!!!
个人经验嘛清一下IE临时文件以后再杀,如果只是作弊的话清完以后应该没了,还有的话就要小心了.
diketaozi
发表于 2007-2-23 21:26:44 | 显示全部楼层
不错,但是不是求助帖不要发到求助区哦!
kesong163
发表于 2007-2-23 22:25:05 | 显示全部楼层
分析的很好啊..谢谢提供..
风之语
发表于 2007-2-23 23:09:43 | 显示全部楼层
是转贴的哦
无法+精的
changyu104
发表于 2007-2-24 12:08:18 | 显示全部楼层
不错,支持一下
sifang
发表于 2007-2-24 12:26:58 | 显示全部楼层
有理,我也遇到过好多次这个东西。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 16:21 , Processed in 0.137916 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表