揭开奇查网的真面目
时间:2008-01-23 19:12:59
作者:officeba 【认证】
恶意网站页面:www.qicha.com
投诉人数:3352
危害程度★★★★
IP :61.164.33.160
定位:浙江省杭州市电信
本周,我们接到众多投诉奇查网(www.qicha.com )的读者来信,反映该站存在恶意推广行为。接到读者投诉后我们立即对该站进行了调查,打开首页是一个并无异常的集成搜索网站,其他页面也均未发现问题。根据读者提供的线索我们先来到www.blogger.cn 页面提示“ 请升级电脑flash 软件,我们为您提供了flash player 9.0.58 版本,请直接点击上面IE ActiveX 控件安装或文件下载后直接安装最新flash 插件。” 这让我们顿生疑心,测试机已经安装了最新的flash 播放器,浏览其他网站并未出现问题,且Adobe 并未发布过9.058 版播放器。手动下载下方给出的flash 插件时发现该链接竟指向
http://rich.qicha.com/templates/downloading/wsetup.exe ,若不下载则数十秒后该页便自动转向到奇查富媒体广告页面。
运行安装时,主动防御系统报警为高度可疑文件,点击暂时信任后弹出奇查富媒体安装成功的提示窗口。这时我们发现,系统开始变得异常迟钝,网页打开缓慢,浏览器进程占用达到95% ,且打开部分网站如ww.qq.com 时被自动转向到奇查114 、www.gogole.cn 或其他广告页面,浏览器已被劫持。
随后我们将此" wsetup.exe" 安装文件传送至virustotal 进行32 引擎检测,尽管此文件逃脱了大多数反病毒软件,但最终仍被检测出为病毒。经过长达10 小时的观察,系统运行愈发迟缓,一旦运行IE 浏览器,CPU 便顿时飙升至90% 以上,最终导致任何网页都无法打开。
原来,此病毒运行后将系统DNS 服务器地址窜改为60.190.228.88 (浙江省杭州市电信蓝月网络科技公司)。我们将此病毒样本转交至多家反病毒厂商,请中招的读者及时升级杀毒软件查杀。
恶意网站页面:123.91zc.com
投诉人数:2493
危害程度★★★
IP 地址:61.139.77.22
定位:四川省成都市电信
编辑分析:页面嵌有大量病毒,从多个地址远程调用,造成网络阻塞、系统迟钝、浏览器崩溃。病毒侵入系统后能在安全模式下运行并终止杀毒软件及相关安全工具的运行。如在局域网内则传播虚假ARP 数据包,造成全网带毒。