通过电信宽带上网的用户将被电信窃取隐私

近来电信用户们打开网页时老是弹出一个小窗口，自己的机器好好的，只要一打开网页就会弹出来，只要连网就会每隔几十分钟弹出一次，对于像CS 爱好者来说这是一个巨大的打击，无法忍受，很多人怀疑是木马，用金山用瑞星用诺顿都杀一次，还是没有查出问题，最后非常无奈到网络上来求救。为了让大家少走很多冤枉路，我这里进行一次比较客观的说明，如果有不正确或不足的还请修正补充；

如果你网络经验比较多的话你可以从源文件中获取下面这段代码：

〈HTML〉〈script language="JavaScript"〉
function newwin()
{var urlname;var win_attr;win_attr=’toolbar=no,menubar=no,scrollbars=no,status=no,location=no,resizable=no,fullscreen=no,directories=no,width=1,height=1,top=10000,left=10000 ’;window.open(’http://220.167.29.103:9123/ndatin.aspx?param=ABdXNlcm5hbWU9YWNjZXNzdGliZXR0b3VyJnBvbGljeWlkPTM=&ref=1’,’ips_win0’,win_attr);
}
〈/script〉
如果你够细心，你会发现你打开每个网页的时候都会刷新两次,比如你打开 http://www.anywolfs.com ，浏览器不会直接转到这个网址上来，而是转道一个http://220.167.29.103:9123?..... 后面跟一段非常长的参数，如果你查看源代码你会发现是这些代码：

〈HTML〉〈frameset border=’0’ frameSpacing=’0’ rows=’0,100%’ frameBorder=’0’〉
〈frame id =’frm123’ name=’frm123’ src=’http://220.167.29.103:9123 /ndatin.aspx?param=ABdXNlcm5hbWU9MjIyMDAwOTBAcXphZHNsJnBvbGljeWlkPTIx&ref=1’〉〈frame id =’frmOLD’ name=’frmOLD’ src=’http://www.anywolfs.com/?’〉〈/frameset〉〈/HTML〉

之后才会从新跳转到http://www.anywolfs.com的主页上面来，为什么会有上面这段代码呢？细心的用户会发现，这段代码只出现在电信用户群中，网通和铁通用户都没有这些问题：

其实以上这段代码是用来验证和传递我们上网的一些信息的，它会将我们上网的一些记录传递给电信的这台服务器，目的是监视我们上网状况。

当然它本身不会对我们的使用造成多大的伤害，只是给人感觉好象自己的秘密被人窃听了，非常的不舒服。

我想看了我这片文章的站长们应该了解具体问题了，希望大家不要浪费时间去查杀它，我们只能无奈的被电信强奸，而且没有反抗余地

还有其他的ip是：219.133.33.37:7010
219.133.33.46
211.147.5.121
220.167.29.102:5001
220.167.29.103
61.153.48.121
219.133.33.37:7010
59.42.71.245
222.77.14.235:8787
59.42.71.245:9123
59.42.71.199

其他我就不列举了--------


----------------------------------------------------------------------

网上流氓软件声讨闹的沸沸扬扬，偶一向窃喜自己米有中标。在X年X月X日一个月黑风高的晚上。被XX同学看小说时不小心点了个对话框的YES后~~偶滴噩梦就来临了~~~3721、YAHOO、SOSO、SOGOU……天啊~~~~T。T~~看着满屏幕飞舞的广告页~~那个爽啊~~~没事还给你来个EXPLORER错误~看着偶都要吐血了~~ARCHEY在边上就2个字：重装。系统用了2年了都还米重装过~~用出感情了嘛~~所以坚决不重装~~（其实是偶很懒……）在经过2小时动工之后（比重装系统都废时。我怎么不重装啊~~~后悔ING）~~呼~~~整个世界终于清净了~~~窃喜~~~
　　可惜好景不长，还米到半个小时，偶亲爱的浏览器又拦截了个弹出页，TITLE=AD~~当时还以为是流氓软件没卸完又仔细搜查了一次~结果还是没有~~快疯了。突然想起看看弹出页的内容。结果看了后汗死我~~
　　“http://220.167.29.103:9123/ndati ... pY3lpZD0z&ref=1”
　　一看是IP地址开头的网址心里就觉得不妙了~肯定不是普通服务商的~~ABdXNlcm5hbWU9Y2Q4NDQ3MjM0MCZwb2xpY3lpZD0z加密页~再一看源码更汗……
〈script language="javascript"〉
window.opener=’’;
window.close();
〈/script〉
〈!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" 〉
〈HTML〉
〈HEAD〉
〈title〉ad〈/title〉
〈meta name="GENERATOR" C〉
〈meta name="CODE_LANGUAGE" C〉
〈meta name="vs_defaultClientScript" c〉
〈meta name="vs_targetSchema" chttp://schemas.microsoft.com/intellisense/ie5" target=_blank〉http://schemas.microsoft.com/intellisense/ie5"〉
〈META HTTP-EQUIV="Pragma" C〉
〈script language="JavaScript"〉 
function closeit() 
{
setTimeout("window.opener=null;window.close()",10);
}
〈/script〉
〈/HEAD〉
〈body MS_POSITI 〉
〈form name="ad" method="post" action="ndatin.aspx?param=ABdXNlcm5hbWU9Y2Q4NDQ3MjM0MCZwb2xpY3lpZD0z&ref=1" id="ad"〉
〈input type="hidden" name="__VIEWSTATE" value="dDwtNjU0MzcyMTk1Ozs+wvgAJRNX/UMv+HvJKM5Bf/strRI=" /〉
〈FONT face="宋体"〉〈/FONT〉
〈/form〉
〈/body〉
〈/HTML〉

[1] [2] [3] 下一页