(电脑报2008年第29期)最近有众多读者向黑榜反映,电脑的IE遭窜改主页并被锁定，频频弹出www.web2234.cn网站和广告窗口，使用多种常见工具都无法修复。接到读者举报后，我们立即展开了调查。

　　我们对该网站的页面、链接做了详细检测，却未发现任何可疑线索，就连其域名Whois信息都被做了隐藏，无迹可寻。看来该网站的幕后黑手是个老手，反侦察能力极强，调查刚开始就没了线索。

　　接着我们展开了深入地调查，结合IP地址反查域名等手段，终于发现了www.web2234.cn的蛛丝马迹。我们发现该网站与www.265netcn.cn存在很密切的关系。莫非这个www.265netcn.cn就是幕后主谋？

　　继续深入，果然印证了我们的猜测，对www.265netcn.cn进行分析发现该网站是一个典型的病毒垃圾站。从其down目录中找到诸如“2008.exe”、“1271.exe”等大量不明程序。

　　将它们下载下来后在虚拟机中测试，发现它们会窜改注册表添加自启动项及IE主页，同时在系统目中释放"dxusaxpylkzpl.dll"、"resiifers.ini"等文件，随后自动连接网络弹出www.web2234.cn等导航网站。

　　而频频弹出的恶意导航站则成为这伙歹人用来疯狂刷流量谋取不法收入的工具。最后我们利用多种病毒引擎检测，确定这些文件都是AdWare.Win32.Ejik间谍软件的程序。在这次调查过程中，我们同时还发现了不法分子用来记录此间谍软件下载安装数量的后台（见图），统计显示其下载总数已超过27万人次，受害网民之多令人吃惊，真是丧心病狂！
　　该间谍软件是通过恶意的.dll文件来弹出的恶意网站的，所以一般的恢复IE首页的方法不起作用，要彻底恢复IE首页、不弹出广告窗口就需要用杀毒软件清除该该间谍软件。

　　通过对www.web2234.cn的深入调查，我们牵出一个利用间谍软件传播的流氓网站群，数量有几十个之多，情形触目惊心。。我们已将这些流氓网站列入本期HOSTS的反黑文件，请大家尽快更新。

　　小新观点：不少网友反应IE遭恶意网站窜改后用了各类修复工具都无法根治，往往是费尽周折刚修复好，重启后又被窜改，甚为苦恼。遇到此类顽固恶意网站时，极有可能是间谍软件在后台作怪，它一旦发现注册表相关项目被用户修复，便立即再次窜改。遇到这种情况最好是利用杀毒软件或者反间谍软件清除间谍软件，再用相关修复工具才能彻底修复系统。