中招现象:输入淘宝网址自动跳转到“淘宝特卖”,而且360网站打不开。检查HOSTS文件,用记事本打开只看到一堆乱码(如图),看不出是什么内容。
很明显这里的HOSTS已经被篡改了,这种HOSTS被劫持的情况并不少见,通过劫持导致对正常网站网址的访问跳转到特意的网址,从而劫持流量、恶意推广,甚至可能进入危险网站。
虽然直接用记事本打开HOSTS文件看到的是乱码,然而用WINRAR中的“查看”命令来打开HOSTS文件却可以看到真实的内容(如图)。
可以看到大量的网址指向173.252.208.212、173.252.206.44这两个IP,这和劫持淘宝网站的173.252.193.47有些类似,不仅如此,HOSTS文件中还有一部分内容,通过把360、卡卡、卡饭、卡巴一族等安全站点或论坛的网址指向127.0.0.1来屏蔽它们,所以才会出现访问不了360网站的情况。
另外,之所以用记事本打开HOSTS文件呈现乱码,是因为编码字符集的问题,我试了下用浏览器打开这个文件,改成GB18030编码浏览,就可以正常查看了,而记事本默认的GB2312就会出现上面的乱码。
修复HOSTS文件(默认HOSTS内容为127.0.0.1 localhost,WIN7则还多一行::1 localhost。其实清空也不影响上网)就可以解决这个劫持网址的问题。但是有可能还有其它恶意程序或木马存在,建议全盘查杀,特别留意可疑的启动项。
翻了一下以前的文章,“被绑架的HOSTS”一文的也是类似的问题,HOSTS乱码,不过当时并没有去深究为什么HOSTS中有乱码,只是抓出几个可疑的程序,但不一定每一次都是同样的文件名,所以前文仅供参考。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1195.html
