写在前面:之前我上乐淘网买东西,发现总是被劫持到一个不知道是什么的网站然后转跳到麦包包,自己扫描病毒,扫描木马,都没有任何结果,昨天发现了这样的一篇文章,不得不转载,以示自己的愤怒。

这里给已经安装或者曾经安装了99宿舍查分保护盾插件的同学的一个解决方案:马上卸载查分保护盾,然后用管理员身份打开cmd,输入“netsh winsock reset”即可!(WIN7可以在关机按钮的搜索框里面输入cmd,在显示出来的cmd.exe上点击右键,以管理员身份运行)

——————————————————————————————————

以下为转载的博文:原文链接:https://www.deleak.com/blog/2012/03/22/99sushe-is-shit/

——————————————————————————————————

道德败坏的99宿舍查分网

我是憋着一肚子肝火,含怒写下这篇文章的。

起因

四六级是个很重要的事情,所以每次出分,大家都想第一时间知道自己的成绩。所以,置之考生急切心理于不顾危的99宿舍就出现了。

真不明白为什么要把查分业务委托给一个商业网站运作。2011年12月以前的查分页面布满广告也就不说什么, 而 2011年12月 成绩查询这回竟然还强制要求下载安装查分器,不安装不可以查分。真恨不得拳打ceo,脚踢服务器,屁股做死你。

作为绝对弱势群体的学生,只能含恨被 99宿舍 强奸,安装查分器,然后查分。

 

中招

因为熟知中国互联网的险恶程度,所以成绩查询完毕后,立即卸载了该查分器。鬼才知道它在后台干了什么。

然而,在此软件运行期间,小红伞已经收了起来。仔细查看原因,web protection 功能被禁。当时没有多想,但是随后发生的事情让我觉得越来越怪异。

 

淘宝,京东,卓越,网银 被劫持

如果说小红伞的 web protection 被禁只是小事,那网上商城,网上银行域名被劫持可就是大事情了。之后的一个月,我不论用什么浏览器,打开哪个网银,网上商城,都是自动跳转到 1rd.co,其他网站均正常。但是 1rd.co 却又无法打开,连接失败。通过搜索引擎缓存,可以得知该网站是个导航站。

排除掉 isp,dns,hosts 问题,恶意插件,病毒木马,各种驱动,我渐渐感到事态的严重性了 —— 我处理不了这个病毒。

查询 1rd.co 的 whois 信息,发现其注册时间是 2012-02-10,也就是说,我应该是在那之后才出现问题的(深谋远虑的 99宿舍 啊)。

 

1rd.co whois 注册信息 摘要:

Sponsoring Registrar: GODADDY.COM, INC.

注册人: King Road

邮箱:support@1rd.co

Registrant Phone Number: +1.5286310451

过期时间: Sat Feb 09 23:59:59 GMT 2013

更新时间: Thu Mar 22 08:03:38 GMT 2012

 

 

随后上各种搜索引擎,寻找类似的病例,没有发现太多相似的,更多的还是和 域名注册相关 的信息,看来是小范围爆发。

 

LSP 的惊讶发现

实在无奈,只能按照正常套路,希望能解决这个浏览器劫持的问题。使用 360 等工具已经无奈的时候,忽然想起 lsp,遂看了一眼,惊呆了:

bbs.scnu.edu.cn( d4 p0 o& B. D# C5 R

居然是查分器在捣鬼!修复 lsp 之后,再也没有发生 淘宝,网银被劫持的情况。

 

 

 

 

小红伞的 日志

2012-2-21,17:58:43 [ERROR] The validity check of the Avira LSP failed.(10022)

2012-2-21,17:58:44 [INFO] The service was stopped.

 

 

 

本着不冤枉任何一个好人,不放过一个坏蛋的原则,我不入地狱谁入地狱,又动手安装了一次查分器,果然不出所料,的确是它捣鬼,lsp又被修改了。继续查看它的 dll 文件,在C:\Program Files\Common Files\System\ws2tcplsp发现了名称为 ws2tcp.dll.13*****87* (暂时不知后缀含义,故此隐去几位,可能是用来识别身份的)的文本文件。打开该文本文件,吓出我一身冷汗——我的访问记录均在此处:

 

解决方案

两种方式,供您选择。

  • 打开360 安全卫士 -> 功能大全 -> 修复网络 LSP -> 点击“立即修复”即可;
  • 打卡cmd,输入netsh winsock reset。

道德多少钱一斤?

本来屁大点事情,不就是查分嘛,招考办却要委托给一个商业网站而不是官方网站,且不说学生信息是否会被泄露(早就不知道被卖多少次了),就 99宿舍 而言,有没有资质提供查询业务都很难说。到底招考办和 99宿舍 网站 有多少猫腻,我们无从得知。

99宿舍 当仁不让,每个查分者都是会下金蛋的公鸡。他们榨干了页面空间,摆满了广告,就差找不到输入考号的文本框了。此次更是变本加厉,企图占领客户端,而不是每年两次的瞬间流量。方法很险恶 —— 你不安查分盾,就查不了分;你安了,就别再想逃开。打开浏览器,不论你访问哪个在线商城,都会跳转到他们的导航站,从而带去 持续流量。

每年报考四六级的人数,要有千万之众(这还是少说了),哪怕每人只点击一下广告,99宿舍 就能赚得喷板钵满。但是,这次 99宿舍 的野心,更是显露无疑。这个和暴风影音的事件有一拼 —— 一个是断网,一个是劫持网银、网上商城。不过显然后者更具有杀伤力。木马病毒都没有做的这么绝,直接把网银网上商城劫持了。——到底 是别有用心,还是流量小偷?

这让我深深感到恐惧,99宿舍到底居心何在?联想到前几天有的人京东账户余额被买彩票,有的人当当账户余额被买礼品卡……实在不敢想下去了。

ps:今后 46级查分,不要去 99宿舍 了,直接上中国高等教育学生信息网查询分数,既没有广告,也无需等待,更没有浏览器劫持 + 盗号。