恶意网页家族黑名单
朋友们在被恶意网页劫持后,准确地判断是哪种类型的劫持将给后续的修复工作带来极大的帮助。
——天使之剑
一、CoolWebSearch:
别名:CWS
行为:CWS有超过36种变种,新的变种几乎每周都会出现。典型情况下,CWS会禁止用户访问知名的搜索引擎,并将搜索重定向到coolwebsearch.com或其他无名搜索站点上。如果输入的网址不正确或不完整,用户访问将被重定向到成人网站或地下搜索站点。它会在浏览器的收藏夹菜单中添加链接——通常是一些色情网站。它还会弹出广告条(同样是色情网站链接),并将浏览器的起始页更改为adulthyperlinks.com或是充斥着广告的目录、成人网站等。
安全问题:CWS的程序可通过位于俄罗斯境内的服务器进行更新。某些变种将CWS的服务器添加至IE的信任站点列表中,这使得程序代码(不仅仅限于CWS代码)未经用户许可就能够安装和更改。还有一些变种会收集个人可识别信息,并传回CWS服务器。
其他问题:CWS会严重影响受感染计算机的性能。应用软件(尤其是IE)会停止响应乃至崩溃。IE的性能明显减慢,尤其是页面滚动。微软技术支持报告显示,CWS还可造成计算机锁定、崩溃、不断重启等现象。
传播方法:已知有超过1000个域是CWS的会员。会员按跳转或点击到coolwebsearch.com的次数接受支付。访问任何一个会员站点,用户都可能由于不小心点击弹出窗口或其他形式的广告而安装CWS软件。CWS在用户未知或未经用户许可的情况下自行安装,明显是利用了未安装补丁程序的IE所具有的安全漏洞。
解决方法:使用CoolWeb粉碎机。
教程:[必读]本版说明及常用小软件下载
http://forum.ikaka.com/topic.asp?board=67&artid=5188931 第3楼有教程和下载地址。
提示:使用CoolWeb粉碎机之前务必升级。
二、Xupiter:
别名:OrbitExplorer(Xupiter的最新变种)
行为:Xupiter会弹出广告窗口,更改默认首页,将错输的或不完整的网址重定向至会员站点,将搜索请求重定向至无名搜索站点,并将Xupiter链接添加到收藏夹中。任何恢复浏览器初始设置或从收藏夹中删除Xupiter链接的尝试,Xupiter都会加以禁止。
安全问题:Xupiter的隐私保护政策中声明Xupiter或其合作伙伴有可能通过自动更新来分发修补程序、更新和升级。“用户”还被告知,Xupiter和其他应用程序有可能发生冲突,Xupiter将确定冲突应用程序的属性,这样公司可以努力解决冲突。Xupiter的某些版本会下载其他程序(例如赌博游戏)到计算机上。
其他问题:据微软的技术支持代表说,Xupiter在Windows XP上会制造出一些奇怪的效果,使用户无法打开受感染计算机上的目录结构(例如“我的电脑”)。
传播方法:Xupiter通过IE工具栏程序安装。某些用户声称,工具栏未经过许可就安装在未打补丁的IE上。工具栏的下载可能是通过网站,也可能是通过带“Free Christian Toolbar”的垃圾邮件或者弹出式阻挡程序,还可能是通过弹出式广告中的链接。
三、Gator Advertising Information Network(GAIN):
别名:Gator
行为:Gator会在Web页面上叠放广告,跟踪用户访问了哪些网站,发送用户感兴趣的产品和服务信息,并监视用户对Gator广告的响应动作。这些信息将被传送给广告商。
安全问题:根据其隐私保护政策所述,Gator会传输计算机上的系统设置和配置信息(计算机上安装了哪些软件等)。同时,用户还需在网页表单中输入名字、国家、城市、邮政编码等信息,以及“非个人可鉴别信息”(例如信用卡号的前四位数字,通过这四位数字可鉴别开户银行,但不能鉴别持卡人)。Gator还会自动安装或更新其他软件组件。
其他问题:Gator的发布者Claria坚称Gator并非间谍软件,并因此数次卷入诉讼。用户报告显示,装有Gator的计算机有性能减慢或软件崩溃现象。
传播方法:Gator Advertising Information Network提供有6种包含Gator的应用程序,例如桌面天气预报程序、日历程序、计算机时钟同步程序、Gator电子钱包、网络安全报警等。有意思的是,Gator如此描述其中的网络安全报警功能:通过监视对IE安全设置的未经授权的篡改,帮助保护浏览器的安全性;同时,通过同期删除浏览历史记录,帮助保护隐私。
四、Live Online Portal(LOP):
别名:C2
行为:该系列的间谍软件程序会将用户默认的主页和搜索页设置为lop.com或200个LOP会员网站之一。还会恢复用户试图更改的起始页和搜索页,在桌面和收藏夹中添加广告网站的链接,并添加一个名为“Accessories”的新的IE工具栏,其中包含更多的广告链接。
安全问题:LOP会从服务器下载二进制代码并执行。
其他问题:整体性能降低。如果LOP要执行动作时计算机未联机,那就可能出现频繁的拨号连接请求。用户拒绝这些请求后,计算机可能停止响应几分钟。
传播方法:LOP最为臭名昭著的安装方法是,循环弹出带有MP3搜索引擎和下载工具的广告。一旦用户错误地或者不耐烦地点击,机器就被感染。LOP的另一种传播途径是与各种免费软件一起打包为合法的音乐及软件下载搜索工具。
五、Cydoor:
别名:无
行为:Cydoor产生大量的弹出和非弹出广告。
安全问题:该软件的近期版本未发现有安全问题。程序与主机的连接似乎仅限于更新广告缓存,而不更新程序代码。即使有用户信息被捕捉,信息量也很小。它最近的一个版本几乎已不能被算做是间谍软件。
其他问题:用户无须在线即可看到Cydoor的广告。程序从计算机的缓存中抽取广告显示。每次联机时,缓存进行更新。据反间谍软件厂商PestPatrol报告,有大量用户抱怨Cydoor会在Windows XP上导致系统错误。
传播方法:Cydoor作为点对点程序、免费游戏软件和其他应用程序的一个组件而广泛发布,没有单独的下载。
六、Look2Me:
别名:AllAboutSearch.com
行为:Look2Me主要是显示客户的弹出广告,广告每隔一分钟出现一次。它还会在桌面上安装快捷方式,并更改浏览器设置。一些机器被感染的用户报告说快捷方式所执行的应用程序是未经许可自动安装的。但在打过补丁的Windows 2000和XP系统上对Look2Me进行测试并未发现任何自行安装程序的功能。
安全问题:Look2Me会监视用户访问过哪些网站,然后将此信息提交到服务器。Look2Me自动更新其代码,在更新过程中,程序组件的运行会反复无常。
其他问题:除了用户被弹出广告骚扰,未发现有明显的性能问题。IE的运行可能会减慢。由于紧密集成在IE中,Look2Me不会显示为正在运行的进程或应用程序,使得对其活动的监控十分困难。
解决方法:使用L2MFix或Spy Sweeper试用版。
案例:日志项目中有会不断更换文件名的链接库文件,并出现在O20项中。
http://forum.ikaka.com/topic.asp?board=67&artid=7359761 提示:按照要求执行操作,在没有得到执行下一步的提示前,请不要运行L2MFix文件夹中的其它文件!
附Spybot - Search & Destroy和Ad-Aware SE教程:
【教程】Spybot - Search & Destroy图文介绍
http://forum.ikaka.com/topic.asp?board=67&artid=7226076 【教程】Ad-Aware SE图文介绍
http://forum.ikaka.com/topic.asp?board=67&artid=7247932 教程中有下载地址。
总结:
之所以要在今天列出这份黑名单是因为最近社友们遇到诸如Look2Me、Vundo和CoolWebSearch等恶意网页劫持的问题较多。对付它们需要专杀工具或者反间谍软件,HijackThis是无能为力的。至于那些工具和软件的使用方法,我会陆续发新帖说明。最后想提醒大家,有些恶意软件的传播是利用IE的漏洞进行的,请及时为浏览器打上补丁或者使用反间谍软件进行免疫,安全第一。
天使之剑祝您在反浏览器劫持论坛取得收获。
