内容提要:本文分两部分,一部分是解除4199对浏览器的劫持,并提供病毒样本下载,供研究练习之用;另一部分是与4199相关的故事。 一、解除4199对浏览器的劫持 1.被劫持的症状 和其他浏览器劫持一样,中了招之后,IE首 …… |
本文分两部分,一部分是解除4199对浏览器的劫持,并提供病毒样本下载,供研究练习之用;另一部分是与4199相关的故事。
一、解除4199对浏览器的劫持
1.被劫持的症状
和其他浏览器劫持一样,中了招之后,IE首页会锁定为“www.4199.com”。在IE属性里面重新设置主页无效,会被自动恢复。每次打开IE都会访问默认首页“www.4199.com”。
据4199的站长在新浪的博客中称“4199除了锁定用户首页外,不会导致用户其它的问题。”笔者在实际的清除过程中,也确实没有发现4199有其他行为。
2.清除过程
根据dreamland的清除方法,笔者实验成功。
(1)运行"regedit"。如果运行不了,将regedit.exe改名为regedit.com就可以运行了。
图1运行regedit
(2)在注册表中,按“Ctrl-F”搜索“rsrc.dll”,删除和rsrc.dll相关的项目。笔者在清除过程中只看到了两三个项目。
这个步骤需要注意:确定光标是选中的图中“我的电脑”,这样“查找”的范围才是整个系统的注册表而不是其中的一部分,如图2。
图2 查找整个注册表中关于“rsrc.dll”的记录
(3)在注册表中搜索“www.4199.com”,删除相关项目,并删除。此步骤和步骤(2)没多大区别。
(4)"Win-F"启动windows搜索功能,在查找所有硬盘上的rsrc.dll文件,通常这个文件在 windows\system32\文件夹下面。
图3 搜索并找到rsrc.dll的位置
找到后,使用unlocker解除rsrc.dll的锁定,并删除。[PConline下载unlocker]
(5)用Hijackthis修复其他所有可疑项目。建议只修复自己知道的项目。在此处,只针对性性地对有“rsrc.dll”和“www.4199.com”内容的条目进行修复。选中需要修复的条目,点击左下的“Fix checked”按键进行修复。[PConline下载Hijackthis]
图4 用Hijackthis修复浏览器
注:图4中,红色方框①中的条目都是以04开头,从其条目名称也可以看出,这些项目是计算机启动时会自动加载的项目。删除不需要的。红色方框②中的条目都是以08开头,从条目的内容很容易看出,这个是浏览器左键菜单的相关条目。可以顺便整理一下臃肿的IE右键菜单。
Hijackthis是一个很强大的浏览器修复工具,建议有兴趣的读者自行研究一下。Hijackthis的安全用法是,将其生成的信息,贴到论坛去,请知道的人来指点,哪些条目可以删除,哪些不可以删除。
(6)重启计算机。此时的DNS被清空,需要重新设置。
图5 笔者被4199清空的DNS
注意:4199好像有很多版本,笔者中的只是其中一个比较“纯洁”的版本。如果有需要的朋友,可下载反流氓软件联盟提供的4199样本,安装试验,锻炼动手能力。[下载4199病毒样本]
下载回来的样本是一个dll文件。使用方法:在运行对话框中运行如下命令:(x:\xx\ 为rsrc.dll所在目录名称)
rundll32 x:\xx\rsrc.dll s
二、和4199相关的故事
在寻找4199病毒样本和解决方法的过程中,笔者看到了一些现象。分享之,以提醒在网上漂的朋友——小心呀!
1.4199是个彻头彻尾的模仿网站
首先介绍一个这个4199.com网站。4199是一个靠模仿生存的网站,在站点定位和形式上模仿hao123.com,在推广上也模仿hao123,连hao123在初期使用的不良的推广方式(浏览器劫持推广)也模仿(4199站长如此说,暂听信之)。
这样模仿了还不算,4199还模仿之前某位用浏览器劫持做流氓推广的站长的炒作手段,在新浪开个博客,发个名为《也许有一天4199也会从良的!》的日记让众多网友骂。
4199的站长在博客中很委屈:“我做站七年了,不比hao123早,在七年中,那怕再困难,我都坚持自己的原则,说简单点,为了让用户有更好的体验!我连漂浮广告都不放的人!可是事实上!又如何!”
笔者想说,创意和定位相仿,说不定