近来电信用户们打开网页时老是弹出一个小窗口,自己的机器好好的,只要一打开网页就会弹出来,只要连网就会每隔几十分钟弹出一次,对于像CS 爱好者来说这是一个巨大的打击,无法忍受,很多人怀疑是木马,用金山用瑞星用诺顿都杀一次,还是没有查出问题,最后非常无奈到网络上来求救。为了让大家少走很多冤枉路,我这里进行一次比较客观的说明,如果有不正确或不足的还请修正补充;
javascript:resizepic(this) border=0>
如果你网络经验比较多的话你可以从源文件中获取下面这段代码:
〈HTML〉〈script language="JavaScript"〉
function newwin()
{var urlname;var win_attr;win_attr=’toolbar=no,menubar=no,scrollbars=no,status=no,location=no,resizable=no,fullscreen=no,directories=no,width=1,height=1,top=10000,left=10000 ’;window.open(’http://220.167.29.103:9123/ndatin.aspx?param=ABdXNlcm5hbWU9YWNjZXNzdGliZXR0b3VyJnBvbGljeWlkPTM=&ref=1’,’ips_win0’,win_attr);
}
〈/script〉
如果你够细心,你会发现你打开每个网页的时候都会刷新两次,比如你打开 http://www.anywolfs.com ,浏览器不会直接转到这个网址上来,而是转道一个http://220.167.29.103:9123?..... 后面跟一段非常长的参数,如果你查看源代码你会发现是这些代码:
〈HTML〉〈frameset border=’0’ frameSpacing=’0’ rows=’0,100%’ frameBorder=’0’〉
〈frame id =’frm123’ name=’frm123’ src=’http://220.167.29.103:9123 /ndatin.aspx?param=ABdXNlcm5hbWU9MjIyMDAwOTBAcXphZHNsJnBvbGljeWlkPTIx&ref=1’〉〈frame id =’frmOLD’ name=’frmOLD’ src=’http://www.anywolfs.com/?’〉〈/frameset〉〈/HTML〉
之后才会从新跳转到http://www.anywolfs.com的主页上面来,为什么会有上面这段代码呢?细心的用户会发现,这段代码只出现在电信用户群中,网通和铁通用户都没有这些问题:
其实以上这段代码是用来验证和传递我们上网的一些信息的,它会将我们上网的一些记录传递给电信的这台服务器,目的是监视我们上网状况。
当然它本身不会对我们的使用造成多大的伤害,只是给人感觉好象自己的秘密被人窃听了,非常的不舒服。
我想看了我这片文章的站长们应该了解具体问题了,希望大家不要浪费时间去查杀它,我们只能无奈的被电信强奸,而且没有反抗余地
还有其他的ip是:219.133.33.37:7010
219.133.33.46
211.147.5.121
220.167.29.102:5001
220.167.29.103
61.153.48.121
219.133.33.37:7010
59.42.71.245
222.77.14.235:8787
59.42.71.245:9123
59.42.71.199
其他我就不列举了--------
----------------------------------------------------------------------
网上流氓软件声讨闹的沸沸扬扬,偶一向窃喜自己米有中标。在X年X月X日一个月黑风高的晚上。被XX同学看小说时不小心点了个对话框的YES后~~偶滴噩梦就来临了~~~3721、YAHOO、SOSO、SOGOU……天啊~~~~T。T~~看着满屏幕飞舞的广告页~~那个爽啊~~~没事还给你来个EXPLORER错误~看着偶都要吐血了~~ARCHEY在边上就2个字:重装。系统用了2年了都还米重装过~~用出感情了嘛~~所以坚决不重装~~(其实是偶很懒……)在经过2小时动工之后(比重装系统都废时。我怎么不重装啊~~~后悔ING)~~呼~~~整个世界终于清净了~~~窃喜~~~
可惜好景不长,还米到半个小时,偶亲爱的浏览器又拦截了个弹出页,TITLE=AD~~当时还以为是流氓软件没卸完又仔细搜查了一次~结果还是没有~~快疯了。突然想起看看弹出页的内容。结果看了后汗死我~~
“http://220.167.29.103:9123/ndati ... pY3lpZD0z&ref=1”
一看是IP地址开头的网址心里就觉得不妙了~肯定不是普通服务商的~~ABdXNlcm5hbWU9Y2Q4NDQ3MjM0MCZwb2xpY3lpZD0z加密页~再一看源码更汗……
〈script language="javascript"〉
window.opener=’’;
window.close();
〈/script〉
〈!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" 〉
〈HTML〉
〈HEAD〉
〈title〉ad〈/title〉
〈meta name="GENERATOR" C〉
〈meta name="CODE_LANGUAGE" C〉
〈meta name="vs_defaultClientScript" c〉
〈meta name="vs_targetSchema" chttp://schemas.microsoft.com/intellisense/ie5" target=_blank〉http://schemas.microsoft.com/intellisense/ie5"〉
〈META HTTP-EQUIV="Pragma" C〉
〈script language="JavaScript"〉
function closeit()
{
setTimeout("window.opener=null;window.close()",10);
}
〈/script〉
〈/HEAD〉
〈body MS_POSITI 〉
〈form name="ad" method="post" action="ndatin.aspx?param=ABdXNlcm5hbWU9Y2Q4NDQ3MjM0MCZwb2xpY3lpZD0z&ref=1" id="ad"〉
〈input type="hidden" name="__VIEWSTATE" value="dDwtNjU0MzcyMTk1Ozs+wvgAJRNX/UMv+HvJKM5Bf/strRI=" /〉
〈FONT face="宋体"〉〈/FONT〉
〈/form〉
〈/body〉
〈/HTML〉
[1] [2] [3] 下一页