Downloader.AQM的形成原理和解决方法

wzxiaofan

经过本人的认真分析，确定这个“病毒”并不算真正的病毒。AVG Anti-Spyware(Ewido)误报了。关于为何误报，请见最后面的解释。

先把stat[1].html的源代码帖出来(感谢迷途的猪猪提供！^_^)
QUOTE:
var expireDate=new Date();
var hours=expireDate.getHours();
var minutes=expireDate.getMinutes();
var seconds=expireDate.getSeconds();
var now=expireDate.getTime();
function getCookieVal_cnzz (offset){var endstr = document.cookie.indexOf(";",offset);
if (endstr==-1)
endstr=document.cookie.length;
return unescape(document.cookie.substring(offset,endstr));}
function GetCookie_cnzz(name){
var arg=name+"=";
var alen=arg.length;
var clen=document.cookie.length;
var i=0;
while(i< clen){
var j=i+alen;
if(document.cookie.substring(i,j)==arg)
return getCookieVal_cnzz(j);
i=document.cookie.indexOf(" ",i) + 1;
if(i==0)break;}
return null;}
var agt=navigator.userAgent.toLowerCase();
data='&agt='+escape(agt)+'&r='+escape(document.referrer)+ '&aN='+escape(navigator.appName)+'&lg='+escape(navigator.systemLanguage) + '&OS=' + escape(navigator.platform)+'&aV='+escape(navigator.appVersion)+'&ntime=0.79370900 1170182728';
a=GetCookie_cnzz("cnzz02");
if(a!=null){a=parseInt(a);a=a+1;}
else a=0;
data=data+'&repeatip='+a;
rtime=GetCookie_cnzz("rtime");
ltime=GetCookie_cnzz("ltime");
cnzz_eid=GetCookie_cnzz("cnzz_eid");
if(cnzz_eid == null){cnzz_eid=Math.floor(Math.random()*100000000)+"-"+document.referrer;}
if(ltime< 1000000){rtime=0;ltime=0;}
else rtime=parseInt(rtime);
if(rtime< 1) rtime=0;
ltime=parseInt(ltime);
now=parseInt(now);
if(((now-ltime)>43200*1000)&&(ltime>0))
rtime=rtime+1 ;
data=data+'&rtime='+rtime+'&cnzz_eid='+escape(cnzz_eid);
data=data+'&showp='+escape(screen.width+'x'+screen.height) ;
document.write('<a href="http://cnzz.com/stat/website.php?web_id=214306" target=_blank title="站长统计">站长统计</a>');
document.write('<iframe frameborder=0 marginwidth=0 marginheight=0 src="http://v8.cnzz.com/stat.htm?id=214306'+ data +'" scrolling=no width=0 height=0></iframe>');
var lefttime=1000*(86400-hours*3600-minutes*60-seconds);expireDate.setTime(expireDate.getTime() + 500*86400);document.cookie="cnzz02="+a+"; expires="+expireDate.toGMTString()+ "; path=/";
var lefttime=1000*86400*182;expireDate.setTime(now + lefttime);document.cookie="rtime="+rtime+";expires="+expireDate.toGMTString()+ ";path=/";document.cookie="ltime="+now+";expires=" + expireDate.toGMTString()+ ";path=/";document.cookie="cnzz_eid="+escape(cnzz_eid)+ ";expires="+expireDate.toGMTString()+";path=/";


稍微懂html语言的人都知道，此段代码的关键在于
QUOTE:
<a href="http://cnzz.com/stat/website.php?web_id=214306" target=_blank title="站长统计">站长统计</a>
<iframe frameborder=0 marginwidth=0 marginheight=0 src="http://v8.cnzz.com/stat.htm?id=214306'+ data +'" scrolling=no width=0 height=0></iframe>


访问第一个链接，则指向如图所示的网页

第一个网址指向的网页
  

这是用来统计/查看网站流量用的。而该页面的连接，恰恰是指向http://mxd.766.com。迷途的猪猪在回帖中说常访问这个网站。恰好说明：那个stat[1].htm正好是来源于该网站的！

为了证实我的猜测，我特意访问了该网站的首页。查看源代码，发现一处连接，如下图：

冒险岛网站首页的源代码
  

那么，这个连接访问的是哪里呢？把该连接复制到地址栏，结果真相大白！

真相大白
  

上面的代码，看起来是不是有些眼熟？是不是和猪猪提供的代码有些相似？(其实是完全相同的！浏览器只是把该页作为.html文件保存了下来--这牵扯到php和html的关系，不是重点，就不多说了。)？

但是，大家肯定很关心这个问题--这个.html文件有危害吗？
答案是：没有。
这个文件的功能是统计流量的--也可能是用来作弊网站流量的的，看看第一个图里的“专业提升Alexa排名(和网站的流量有关，与你的计算机无关)”就知道了。

还有个问题，AVG Anti-SpyWare为什么会误报？
答案在这段代码上:
QUOTE:
<iframe frameborder=0 marginwidth=0 marginheight=0 src="http://v8.cnzz.com/stat.htm?id=214306'+ data +'" scrolling=no width=0 height=0></iframe>

这段代码通常是用来挂网页木马的，代码里的地址一般就是网页木马的地址。这段代码可以让IE浏览器偷偷地访问那个连接地址，下载木马，并运行！----但是不用担心，此处并没有木马，这是被网站的站长用来进行流量作弊了。^_^

下面这个图就是它偷偷访问的网页：

它偷偷访问的网页
  

解决方法:
你先进入安全模式
开始----运行----输入 cmd ------进入DOS窗口模式
输入 del c:\desktop.ini /f/s/q/a
del D:\desktop.ini /f/s/q/a
总之把所有盘里的desktop.ini都删除
在Temporary Internet Files后加上或者点C盘的磁盘清理上的临时文件，再点查看文件 这个文件夹就出来了 清空除index外的所有文件和文件夹．

mmccdv

很有分析的说,不过没看到你所提到的图片.

建议加精,辛苦了.

ahfynjj

LZ辛苦了. 支持下. 别沉了

gaue

提供的好！

sexdll32

对于这个东西个人感觉还是小心点好,这个可以是作弊用也可以是挂马用....
小心驶得万年船啊!!!
个人经验嘛清一下IE临时文件以后再杀,如果只是作弊的话清完以后应该没了,还有的话就要小心了.

diketaozi

不错，但是不是求助帖不要发到求助区哦！

kesong163

分析的很好啊..谢谢提供..

风之语

是转贴的哦
无法+精的

changyu104

不错,支持一下

sifang

有理，我也遇到过好多次这个东西。