黑海豚的直觉 VistaPC.CN

注：一个月的时间过去了，没有网警的任何信息，而恶意的网站广告却一直在继续。网警们在干什么？他们真的就不当回事儿吗？

好，朋友们，请关注2008年1月 21日的《电脑报》。

举报材料

尊敬的网警同志，您好。
这是关于在近期的众多宽带接入用户端出现莫名的恶意弹出窗口的整理材料，这些恶意窗口链接的网站不仅传播病毒与木马程序，而且还出现兜售非法涉性药具、色情诱惑性成人电影网站以及“情感聊天室”等等，严重违反我国现有法律法规(危害互联网和其他信息系统运行安全)，并且已经对个人及企业用户的计算机系统造成了不同程度的破坏。
我是一名普通焦作市民，在本市从事IT销售与计算机维护行业已经多年，并且曾经在本市山阳论坛的软件天地版块担任了多年版主一职（黑海豚），可以说对计算机系统还是比较了解，，由于工作性质决定了本人对于计算机使用过程中的各方面变化及为敏感。
我还是首先把这次举报材料中附带的内容介绍一下吧。本次附带的这些文件中包括有以下类型：
1、 屏幕录像记录，XXX.AVI文件。
2、 屏幕截图记录，XXX.JPG文件。
3、 网络嗅探监控数据，XXX.CAP文件。
4、 提取的带毒WEB页及病毒样本， *.htm,*.c 以及*.exe文件。
本人身为一名计算机专业人员，根据我观察到的现象，在正常的互联网访问数据中，作为用户端的计算机系统被迫接收到了精心伪装的数据包，也就是说用户在访问网络的过程中，收到了并不是对方服务器返回的数据，这些未经用户端程序授权就进入系统的数据流，利用了网络程序的特性，导致用户端突然出现新的弹出式WEB页面，不论用户是使用IE等浏览器，还是在登录IM（QQ、MSN及淘宝旺旺等）聊天程序，或者在登录网络游戏界面，都会出现这样的情况。请允许我暂称其为“恶意弹窗”。

非常危险的真实情况是，这些现象往往出现在网友使用率频繁的网络应用过程当中，极易并且已经对用户系统造成危害。正如我提供的屏幕监控资料中所展示的，在126信箱收发邮件，访问新浪搜狐等知名网站，都出现了这种现象，甚至还出现使用网上银行的过程中（网银部分未包含本次举报中）。
出现在网络中的这种恶意弹窗有以下特征：
1、操作系统无关性，我所监控的操作系统包括了几乎所有的Windows版本，WinXP，WinServer2003，WinVista，以及未发布的WinServer2008(这是我使用的主系统，正版授权使用)，并且与正盗版无关，。
2、客户端程序无关性，IE浏览器、QQ、UC、MSN、旺旺、以及热门网络游戏的使用过程都会出现。
3、使用时长无关性，不论是一台新安装系统的电脑，还是已经运行多日的电脑，都会出现。
4、恶意链接源多变性，根据我获得的各方面资料，恶意弹窗的链接源经常变化，其域名或目标文件链接不断变化，本人推断这是为了躲避安全类软件的阻击。比如恶意弹窗的链接，经常出现在360安全卫士的举报页面，以及偶然会被杀毒软件所阻止。
5、恶意弹窗的危险代码更新频繁，至少在我提供的资料中，新版瑞星2008的071216号最新病毒特征库无法查杀其SVOSS.EXE病毒主体。该主体被NOD32及McaFee判断为木马病毒，可能会盗取用户网游信息。
6、网络接入环境无关性，我所提供的环境属于在我市占主导地位的中国网通宽带接入，而据我的朋友提供信息，在铁通及电信接入的环境中同样出现类似的现象，毕竟后两者范围有限，本人环境有限，并没有收集到相关材料。

提醒，请安全的打开附带的压缩包内文件，解压密码为：1。
附带压缩文件中有三个木马病毒：
1、 木马TrojanDownloader.Ani.Gen  文件ah.c ，该文件下载另一病毒主体SVOSS.EXE。
2、 木马TrojanDownloader.Psyme.NDJ 文件11.htm 。
本举报材料所提供的资料，仅仅占我所监控数据的一小部分，之所以选择它们，是因为其具有广泛的代表性，近期出现频繁变化，我已经在本公司的客户群发现了这样的案例。
附件中的CAP网络嗅探文件是通过WinServer2008企业版32位环境中，安装微软免费提供的网络监控工具包NetworkMonitor3.1，在确保无后台网络传输的情况下，对浏览器访问网络的出入数据进行的截获。
在文件126mail-hucailm-071215.cap的213号数据包；
与sina-nxpy120-071215.cap 的 426号数据包显示了我客户端收到了经过伪装的数据包，内含导致客户程序异常显示页面的HTML代码。
HTTP/1.1
200 OK.
Content-type: text/html..
<html>
<meta http-equiv=’Pragma’ content=’no-cache’>
<meta http-equiv=’Refresh’ content=’0;URL=’>
<script LangUage=’JavaScript’>
{child=window.open(’http://www.nxpy120.cn/’,”,’width=800,height=600,toolbar=yes,menubar=yes,location=yes,resizable=yes,status=yes’);child.blur();}</script><head><title></title></head>
<body></body></html>.
红色字体处即是各个弹出源网址。
之所以说数据包经过伪装，是因为通过简单的对比，可以比较出由正规网站发回的数据包拥有详细的数据，反应了该网站的服务器状态，网页生命期等信息。
但伪装数据包只有基本的HTTP协议版本字段，服务器状态字段和传输数据类型，紧跟着就是HTML代码。而且伪装的数据包拷贝了正常的返回数据包TCP/IP标签，我们可以从随后的数据中找到包含相同标签，不同状态值的HTTP数据包。
比如在Sina文件中 伪装数据包426号拷贝了447号数据包的Seq:4031593815与Ack:1691458870值；126mail文件中伪装数据包213号拷贝了233号的Seq:2941073931与Ack:165627460值。我认为该现象表明了伪装数据包是不会由网络中的另一用户发送，是谁伪装的？我认为只有在骨干路由器一级的网络环境，才可能对此造成影响。所以，我认为这是一种极为隐蔽的个人或者公司团体在运作这样一个非法的网络平台。它破坏了正常的通信。并且已经损害到了用户的利益。
我限于个人的技术力量，无法再做更有效的追踪与监控，网警同志，请用“child.blur”作为关键词，在百度等搜索引擎上搜索一下，你肯定会相信我所说的这一切，这不是一个单纯的特例，它已经存在好长时间，并且肯定会在特定时期造成网络的故障。我甚至截获到它曾经影响到迅雷网站的截屏，就像Win98时代聊天室里管理员放的“无限弹窗”炸弹那样。无法阻止……
作为一名的网友，我真切的恳请网警同志能够重视我提供的材料。查清该现象的幕后行为人或团体，严惩其人，以警后人。它不仅造成了网络病毒的危害，而且还严重侵害了用户的隐私权，破坏了正常网络的运行。
最后，我要说的是，我完全可以配合民警的工作，我愿意提供所有我掌握的影像、图片及嗅探数据。
QQ：6932391
2007年12月18日星期二 17：19