本文发表在 rolia.net 枫下论坛IGetNet 说明
IGetNet 是一个关键词检索的服务,它是以IE Helper对象以及一个在Windows 启动(Winstart.exe)上运行的进程的方式通过改写你的计算机的Hosts文件[注1]。它修改Hosts文件后所产生的效果是:每当你访问MSN或者Netscape的搜索服务时,你都被重定向到Hosts文件中指定的主机上。一个被修改后的Hosts文件内容如下:
127.0.0.1 localhost
216.177.73.139 auto.search.msn.com
216.177.73.139 search.netscape.com
216.177.73.139 ieautosearch
稍微有一点网络知识的人也会知道,Netscape和微软这两个曾经的死敌怎么可能会租用同一个服务器(216.177.73.139)来做搜索呢?答案只有一个——该服务器就是IGetNet希望你访问的服务器(ignkeywords.com, rspsearch.com)。
每当你被转向到他们的服务器,服务器上的系统就会检查你要搜索的关键词是不是被包含在他们卖给他们的广告客户中,如果是的话,你就被重定向到该广告客户的指定的网站;否则你将被重定向到MSN或者Netscape的搜索服务上或者searchresult.net。
IGetNet变种
IGetNet v4,是最初的版本,这个版本在你的windows目录下的system目录下安装BHO.dll,rsp.dll,和winstart.exe。
IGetNet v5,和v4版表现一样,但是安装的文件是BHO001.dll,rsp001.dll和winstart001.exe,并且使用了新的Class ID[注2]。如果你感染了这一版本的IGetNet,那么你新开的IE浏览器窗口的地址栏里会发现有这样的字样:Enter Keyword or Web Address here。
分发途径
IGetNet通常与P2P应用捆绑在一起被安装,或者从“Blue Haven Media”被下载的软件中感染,也可能被FavoriteMan[注3]寄生虫安装。还可能通过弹出式的广告窗口由ActiveX[注4]驱动安装。
IGetNet的主要影响
广告
当你在IE的地址栏里进行检索时,将你重定向到其广告客户的网站。
稳定性
在你关闭Windows系统时,会导致IEXPLORE.EXE[注5]挂起——系统关闭时间被正常时间长,而且可能出现一个窗口提示你说IEXPLORE无法正常关闭。感染IGETNET后,由于它修改了你的Hosts文件,你无法访问真正的MSN的检索服务器auto.search.msn.com或者Netscape的检索服务器 search.netscape.com。
删除
没有“uninstall”可以使用,有一些软件可以帮助删除。Ad-Aware 5可以删除IGetNet v4,但是你仍然要手工修复Hosts文件。Spybot S&D 2003-01-05发布的程序可以将两个版本的IGetNet删除。
手工删除
在你删除该软件之前,需要先将该软件的DLL注销并且将它从启动组删除。注销DLL用以下方式进行:打开一个Dos命令窗口(在“运行”窗口中输入cmd并按“确定”按钮)执行以下命令:
cd "%WinDir%\System" [注6]
regsvr32 /u BHO.DLL
regsvr32 /u rsp.dll
以上命令注销IGetNet v4的DLL,注销IGetNet v5用以下命令进行:
cd "%WinDir%\System"
regsvr32 /u BHO001.DLL
regsvr32 /u rsp001.dll
然后,打开注册表编辑器(在“运行”窗口中输入regedit并按“确定”按钮),查找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Run键,并删除'WinStart' or 'WinStart001'的值。
重新启动你的计算机,然后到"%WinDir%\System"目录中删除BHO*.dll,Rsp*.dll,WinStart*.exe文件。
IGetNet v5在以上的目录中还安装了一个Install_all.dll,也需要删掉。这个程序的主要作用是试图在安装v5 版之前删除v4版本,但是它也禁止了其他程序的地址栏搜索功能。
如果你愿以,还可以在注册表中将HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Ie Rsp删除以保证彻底消灭IGetNet。
最后,需要修复Hosts文件,在Win95/98/Me系统中,该文件位于Windows目录,在Windows NT/2000/XP系统中,该文件位于windows的安装目录下的System32\drivers\etc\目录中。用文本编辑器(Write或者Notepad)打开该文件,删除以下三行并存盘退出:
216.177.73.139 auto.search.msn.com
216.177.73.139 search.netscape.com
216.177.73.139 ieautosearch
在IGetNet的不同版本中,左边的IP地址可能不太相同。
相关连接:
http://www.doxdesk.com/parasite/IGetNet.html 原文。大家可以到该网站看看,相信对你不会没有帮助。
Http://www.igetnet.com/ IGetNet公司网站
Http://www.keywordmediainc.com/ Keyword Media和Http://www.firstphrase.com/ FirstPhrase和IGN是同一个公司。
http://www.sccs.swarthmore.edu/users/04/ivan/q/IGN.html 由Ivan Boothe收到的来自IGN公司的一个传真,描述了该公司分发IGetNet软件的策略。
[注1]:Hosts文件用以存储IP地址与主机名的对应关系,组成本地的域名解析系统。在应用程序需要域名解析服务时,Windows会先从该文件中查找,如果有结果,就直接返回相应IP地址给应用程序如IE。
[注2]: 用于标识 ActiveX 控件。
[注3]:另一个间谍软件,详情请见:http://www.doxdesk.com/parasite/FavoriteMan.html
[注4]ActiveX:Microsoft提供的一组使用COM(Component Object Model,组件对象模型)使得软件组件在网络环境中进行交互的技术。作为针对Internet应用开发的技术,ActiveX被广泛应用于WEB服务器以及客户端的各个方面。同时,ActiveX技术也可以被用于方便地创建普通的桌面应用程序。
[注5] IEXPLORE.EXE 就是Microsoft的浏览器IE
[注6]Windows的一个环境变量,定义了Windows的安装目录。更多精彩文章及讨论,请光临枫下论坛 rolia.net
IGetNet 是一个关键词检索的服务,它是以IE Helper对象以及一个在Windows 启动(Winstart.exe)上运行的进程的方式通过改写你的计算机的Hosts文件[注1]。它修改Hosts文件后所产生的效果是:每当你访问MSN或者Netscape的搜索服务时,你都被重定向到Hosts文件中指定的主机上。一个被修改后的Hosts文件内容如下:
127.0.0.1 localhost
216.177.73.139 auto.search.msn.com
216.177.73.139 search.netscape.com
216.177.73.139 ieautosearch
稍微有一点网络知识的人也会知道,Netscape和微软这两个曾经的死敌怎么可能会租用同一个服务器(216.177.73.139)来做搜索呢?答案只有一个——该服务器就是IGetNet希望你访问的服务器(ignkeywords.com, rspsearch.com)。
每当你被转向到他们的服务器,服务器上的系统就会检查你要搜索的关键词是不是被包含在他们卖给他们的广告客户中,如果是的话,你就被重定向到该广告客户的指定的网站;否则你将被重定向到MSN或者Netscape的搜索服务上或者searchresult.net。
IGetNet变种
IGetNet v4,是最初的版本,这个版本在你的windows目录下的system目录下安装BHO.dll,rsp.dll,和winstart.exe。
IGetNet v5,和v4版表现一样,但是安装的文件是BHO001.dll,rsp001.dll和winstart001.exe,并且使用了新的Class ID[注2]。如果你感染了这一版本的IGetNet,那么你新开的IE浏览器窗口的地址栏里会发现有这样的字样:Enter Keyword or Web Address here。
分发途径
IGetNet通常与P2P应用捆绑在一起被安装,或者从“Blue Haven Media”被下载的软件中感染,也可能被FavoriteMan[注3]寄生虫安装。还可能通过弹出式的广告窗口由ActiveX[注4]驱动安装。
IGetNet的主要影响
广告
当你在IE的地址栏里进行检索时,将你重定向到其广告客户的网站。
稳定性
在你关闭Windows系统时,会导致IEXPLORE.EXE[注5]挂起——系统关闭时间被正常时间长,而且可能出现一个窗口提示你说IEXPLORE无法正常关闭。感染IGETNET后,由于它修改了你的Hosts文件,你无法访问真正的MSN的检索服务器auto.search.msn.com或者Netscape的检索服务器 search.netscape.com。
删除
没有“uninstall”可以使用,有一些软件可以帮助删除。Ad-Aware 5可以删除IGetNet v4,但是你仍然要手工修复Hosts文件。Spybot S&D 2003-01-05发布的程序可以将两个版本的IGetNet删除。
手工删除
在你删除该软件之前,需要先将该软件的DLL注销并且将它从启动组删除。注销DLL用以下方式进行:打开一个Dos命令窗口(在“运行”窗口中输入cmd并按“确定”按钮)执行以下命令:
cd "%WinDir%\System" [注6]
regsvr32 /u BHO.DLL
regsvr32 /u rsp.dll
以上命令注销IGetNet v4的DLL,注销IGetNet v5用以下命令进行:
cd "%WinDir%\System"
regsvr32 /u BHO001.DLL
regsvr32 /u rsp001.dll
然后,打开注册表编辑器(在“运行”窗口中输入regedit并按“确定”按钮),查找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Run键,并删除'WinStart' or 'WinStart001'的值。
重新启动你的计算机,然后到"%WinDir%\System"目录中删除BHO*.dll,Rsp*.dll,WinStart*.exe文件。
IGetNet v5在以上的目录中还安装了一个Install_all.dll,也需要删掉。这个程序的主要作用是试图在安装v5 版之前删除v4版本,但是它也禁止了其他程序的地址栏搜索功能。
如果你愿以,还可以在注册表中将HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Ie Rsp删除以保证彻底消灭IGetNet。
最后,需要修复Hosts文件,在Win95/98/Me系统中,该文件位于Windows目录,在Windows NT/2000/XP系统中,该文件位于windows的安装目录下的System32\drivers\etc\目录中。用文本编辑器(Write或者Notepad)打开该文件,删除以下三行并存盘退出:
216.177.73.139 auto.search.msn.com
216.177.73.139 search.netscape.com
216.177.73.139 ieautosearch
在IGetNet的不同版本中,左边的IP地址可能不太相同。
相关连接:
http://www.doxdesk.com/parasite/IGetNet.html 原文。大家可以到该网站看看,相信对你不会没有帮助。
Http://www.igetnet.com/ IGetNet公司网站
Http://www.keywordmediainc.com/ Keyword Media和Http://www.firstphrase.com/ FirstPhrase和IGN是同一个公司。
http://www.sccs.swarthmore.edu/users/04/ivan/q/IGN.html 由Ivan Boothe收到的来自IGN公司的一个传真,描述了该公司分发IGetNet软件的策略。
[注1]:Hosts文件用以存储IP地址与主机名的对应关系,组成本地的域名解析系统。在应用程序需要域名解析服务时,Windows会先从该文件中查找,如果有结果,就直接返回相应IP地址给应用程序如IE。
[注2]: 用于标识 ActiveX 控件。
[注3]:另一个间谍软件,详情请见:http://www.doxdesk.com/parasite/FavoriteMan.html
[注4]ActiveX:Microsoft提供的一组使用COM(Component Object Model,组件对象模型)使得软件组件在网络环境中进行交互的技术。作为针对Internet应用开发的技术,ActiveX被广泛应用于WEB服务器以及客户端的各个方面。同时,ActiveX技术也可以被用于方便地创建普通的桌面应用程序。
[注5] IEXPLORE.EXE 就是Microsoft的浏览器IE
[注6]Windows的一个环境变量,定义了Windows的安装目录。更多精彩文章及讨论,请光临枫下论坛 rolia.net