6.cn 恶意弹窗的跟踪调查
收藏此页到365KeyPublished on 09/11,2007
关于近来活动猖獗的 6.cn 恶意弹窗病毒,360安全论坛上的一位网友给出了比较详尽的解释,一句话总结就是,一个很狡猾的网站 www.mmtw.cn 站长利用技术手段,以知名视频网站六间房的网页为伪装,利用普通网民的电脑为其自己的网站增加点击量,借此获取不正当利益。除了给出详尽的解释外,这位网友给出了防范 6.cn 弹窗的有效措施。
无论这位网友的分析是否客观准确,至少是有一定道理,能够自圆其说的,为了让众多网民尽快关注并了解此次恶意弹窗事件的真相,我决定将这位网友的分析全文转载于此。若您对此事有更深入的了解,也烦请通过评论或邮件的方式告诉我。
最近发现有很多网友举报6.cn/(六间房)网站广告弹窗口。
早上无聊,去看看这破广告到底有什么能耐。
找了好久,终于有点收获,据说跳广告窗口是这个网页:
hXXp://union.mmtw.cn/liu.asp?id=chenlin_a17
一进入就弹广告,几秒循环一次,靠!!
第一次来不及反映,浏览器直接卡死。
怨,关浏览器,开SSM与嗅探器,重新进入,仍然弹广告
这次反映快了点,它边弹我边关,哈哈``终于赢了。
关闭后,开嗅探器,从几百记录中跟踪如下:
访问的IP:
202.100.81.80
IP : 202.100.81.80
地址: 甘肃省兰州市 电信
hXXp://6.cn/watchtc/heywz/ay300.html
这个就是弹广告的地址。
61.139.37.26
IP : 61.139.37.26
地址: 四川省成都市 电信
hXXp://union.mmtw.cn/liu.asp?id=chenlin_a17
这个是跳网页的主地址,一开始就是从这里进的。
IP : 61.139.126.72
地址: 四川省绵阳市 电信机房
hXXp://www.mmtw.cn
这个才是罪魁祸首,大垃圾
222.191.251.102
IP : 222.191.251.102
地址: 江苏省 江阴机房
http://count.51yes.com/basicdata.aspx?id=90806476
是个连接的网站统计。
122.224.146.43
IP : 122.224.146.43
地址: 浙江省 电信
http://www.51.la/?1200858
51的网站流量统计
还发现了个奇怪的现象:
这个明明是六间房的地址,为什么IP会是hXXp://www.mmtw.cn 的?
后来看了数据包,原来hXXp://www.mmtw.cn是在借刀杀人。
通过在hXXp://www.mmtw.cn自己网站上,建立六间房电影的连接地址。
由于连接的是六间房的网页。所以大家都误以为六间房在弹广告。
看看hXXp://union.mmtw.cn/liu.asp?id=chenlin_a17的代码:
利用框架方式挂了六间房的连接。下面另一个是流量统计。
当打开hXXp://union.mmtw.cn/liu.asp?id=chenlin_a17的时候,它会不停的刷新。
在刷新过程中会不停执行上面的代码,并连接六间房电影的连接地址。
而且是随机的,例如:
hXXp://6.cn/watchtc/pplive/ay383.html
hXXp://6.cn/watchtc/heywz/ay300.html
hXXp://6.cn/watchtc/heywz/ay80.html
所以会不停的弹广告。
结果是:
好了,看看它刷新的结果吧:
一个月的PV流量接近6000万!!!
那些不停弹网页的人肯定愁死了`` -_-!
解决方法!!!!:
方法一:
1、暂时断开网络,关闭浏览器。
2、打开Hosts,它的位置在:
C:\Widows\System32\Drvers\Etc
是个未知格式的文件,没有扩展名的,双击打开,选择为记事本方式运行:
3、然后添加如下内容:
注意,127.0.0.1和那个网址之间要有个空格啊,然后关闭,点保存就可以了。
4、重启电脑。
解决方法二(推荐):
先断开网络。
1、打开控制面板-Internet选项-安全-点击那个“受限制的站点”-再点下面的那个“站点”。
2、添加下面内容:
3、冷启动方式重启电脑。
早上无聊,去看看这破广告到底有什么能耐。
找了好久,终于有点收获,据说跳广告窗口是这个网页:
hXXp://union.mmtw.cn/liu.asp?id=chenlin_a17
一进入就弹广告,几秒循环一次,靠!!
第一次来不及反映,浏览器直接卡死。
怨,关浏览器,开SSM与嗅探器,重新进入,仍然弹广告
这次反映快了点,它边弹我边关,哈哈``终于赢了。
关闭后,开嗅探器,从几百记录中跟踪如下:
访问的IP:
202.100.81.80
IP : 202.100.81.80
地址: 甘肃省兰州市 电信
hXXp://6.cn/watchtc/heywz/ay300.html
这个就是弹广告的地址。
61.139.37.26
IP : 61.139.37.26
地址: 四川省成都市 电信
hXXp://union.mmtw.cn/liu.asp?id=chenlin_a17
这个是跳网页的主地址,一开始就是从这里进的。
IP : 61.139.126.72
地址: 四川省绵阳市 电信机房
hXXp://www.mmtw.cn
这个才是罪魁祸首,大垃圾
222.191.251.102
IP : 222.191.251.102
地址: 江苏省 江阴机房
http://count.51yes.com/basicdata.aspx?id=90806476
是个连接的网站统计。
122.224.146.43
IP : 122.224.146.43
地址: 浙江省 电信
http://www.51.la/?1200858
51的网站流量统计
还发现了个奇怪的现象:
这个明明是六间房的地址,为什么IP会是hXXp://www.mmtw.cn 的?
后来看了数据包,原来hXXp://www.mmtw.cn是在借刀杀人。
通过在hXXp://www.mmtw.cn自己网站上,建立六间房电影的连接地址。
由于连接的是六间房的网页。所以大家都误以为六间房在弹广告。
看看hXXp://union.mmtw.cn/liu.asp?id=chenlin_a17的代码:
利用框架方式挂了六间房的连接。下面另一个是流量统计。
当打开hXXp://union.mmtw.cn/liu.asp?id=chenlin_a17的时候,它会不停的刷新。
在刷新过程中会不停执行上面的代码,并连接六间房电影的连接地址。
而且是随机的,例如:
hXXp://6.cn/watchtc/pplive/ay383.html
hXXp://6.cn/watchtc/heywz/ay300.html
hXXp://6.cn/watchtc/heywz/ay80.html
所以会不停的弹广告。
结果是:
好了,看看它刷新的结果吧:
一个月的PV流量接近6000万!!!
那些不停弹网页的人肯定愁死了`` -_-!
解决方法!!!!:
方法一:
1、暂时断开网络,关闭浏览器。
2、打开Hosts,它的位置在:
C:\Widows\System32\Drvers\Etc
是个未知格式的文件,没有扩展名的,双击打开,选择为记事本方式运行:
3、然后添加如下内容:
注意,127.0.0.1和那个网址之间要有个空格啊,然后关闭,点保存就可以了。
4、重启电脑。
解决方法二(推荐):
先断开网络。
1、打开控制面板-Internet选项-安全-点击那个“受限制的站点”-再点下面的那个“站点”。
2、添加下面内容:
3、冷启动方式重启电脑。
直接按住电源键 5 秒以上,使电脑直接断电关机,重启后不再出现弹窗。
另外,那个hXXp://union.mmtw.cn/liu.asp?id=chenlin_a17究竟是如何来的还未知
我比较过求助网友十多份的日志,不过并无收获。
很多人都说是ISP搞的鬼,看来并非以讹传讹。。。
另外,那个hXXp://union.mmtw.cn/liu.asp?id=chenlin_a17究竟是如何来的还未知
我比较过求助网友十多份的日志,不过并无收获。
很多人都说是ISP搞的鬼,看来并非以讹传讹。。。
4. 终极解决方案。
在 360安全论坛上下载此 隐身僵尸木马专杀工具
本文引用地址(Trackback URL)
http://www.nklog.org/trackback.php?id=6666
09/13,2007, at 03:08
:^) 冒险打开了一下,看到不少广告,连忙sec停止载入
嗯,这样的网站,已加入黑名单,过滤“渺茫社区,渺茫T网”
本想查询一下该网站备案,备案号是否正确,服了“信产部”的服务,简直比拨号还慢 Z-)
09/13,2007, at 15:16
现在有些网站上老搞弹窗,害死人了,一个弹窗还不够,把电脑都搞得死机 =(
09/13,2007, at 18:42
你不是用firefox的么?
09/13,2007, at 21:04
:-D 反正现在已经有解决方案了~
冷启动方式重启电脑。
直接按住电源键 5 秒以上,使电脑直接断电关机,重启后不再出现弹窗。
to 楚云: 无论用什么上网,只要连线,就会自动弹出窗口的。
09/14,2007, at 10:13
我不叫楚云。我是个男的。
09/14,2007, at 11:23
8-) 好吧,那就叫“青龙偃月刀”大侠~
10/04,2007, at 08:35
佩服笔者的分析能力 o.o
10/24,2007, at 17:46
去看看月光博客的分析比较彻底的说,楼主的也不错的啦 :-D
谁控制了我们的浏览器?
http://www.williamlong.info/archives/439.html
电信竟通过路由器篡改网站内容
http://www.williamlong.info/archives/591.html
10/31,2007, at 15:24
很不喜欢弹窗!
10/31,2007, at 15:25
太张逛了!
10/31,2007, at 15:27
=( 无聊的人竟放弹窗!
10/31,2007, at 15:28
o.o 了解下!
10/31,2007, at 18:33
8-) 呵呵,这么多网站广告啊~
11/08,2007, at 08:32
:-S 鄙视6.cn,鄙视一切制造网络垃圾的网站!
11/08,2007, at 08:38
我的是操作系统是Microsoft Windows XP Media Center Edition Version 2002 SP2英文版。在C:\WINDOWS\system32\drivers\etc目录下及整个系统中没有发现hosts文件,但有一个lmhosts.sam,未发现异常。
11/10,2007, at 00:32
8-) 从来没用过 Media Center 版,羡慕啊!!!
01/01,2008, at 03:45
谢谢高手指点,我快愁死了,看了高手指点,可算正常了,谢谢 :o
01/03,2008, at 21:45
:-D 客气客气,抵制流氓网站,应该做的
02/05,2008, at 07:21
找了一个多月,今天又找了一个通宵,才找到方法不知道行不行,不过还是很感激楼主让我看到了希望
02/06,2008, at 13:28
to 7pda: 新建一个就可以了。
03/01,2008, at 16:21
连一听也要弹一个网站的广告,真的搞不懂!烦!
03/01,2008, at 20:18
还好我从来不去六间房。
03/02,2008, at 16:41
:) 这个似乎并不是六间房自己搞的,要不然不是明摆着砸自己家的招牌么