河南联通 ADSL 宽带拨号新版客户端疑含木马病毒

不知道什么时候,河南联通(前河南网通)ADSL 宽带拨号客户端从 325 版本升级到新版 356。新版客户端中的一个 dll 文件 CCITCert 被 Symantec Endpoint Protection 杀毒软件查出含有木马。似乎 360 安全卫士也认为该文件有木马,但是没有进行验证。

河南联通 ADSL 宽带拨号客户端中携带的 CCITCert.dll 文件被查出含木马病毒

更新提示 2011-07-06:

经过几次验证,前述 CCITCert.dll 文件现象未能重现。“Symmantec 会提示一个来自网络的攻击,并且将本机与该 IP 的通信封禁。”的问题属实(至少目前)。

一、问题描述

前些天帮朋友重装系统,给她安装了常用软件文件夹保存的旧版 325 的河南联通 ADSL 宽带拨号客户端。但是很奇怪,当我因为安装别的软件重起电脑几次之后,发现原本淡蓝色的客户端软件界面变成了与现在联通官网上配色一样的红色。我当时只是觉得奇怪(我确认自己没有升级过该客户端软件。联通太无耻了,要升级软件都不知会一声,直接替别人升级了),并没有深究。最后安装 Symantec Endpoint Protection 杀毒软件,还得到了上面的木马警报。当时混乱的界面上似乎还出现了 360 安全卫士的木马报警。因为 Symmantec 自动处理很干净,所以我也就没在意,只要能上网就行了。

后来因为时间紧,就赶紧 GHOST 备份之后就撤了。没有对这些事情进行确认

但是第二天就接到电话,说是电脑没法儿用。后来我过去了,发现情况如下,

  1. 偶尔情况下,开机之后宽带拨号软件启动的时候,Symmantec 会提示一个来自网络的攻击,并且将本机与该 IP 的通信封禁。
  2. 宽带拨号软件启动后的程序界面显示空白,并且将鼠标移过去的时候会显示小漏斗(也就是说正在等待程序响应)(实际上这个界面应该在拨号完成后自动变换为联通的各种广告)。另外,如果拨号上网的过程中没有出现 1 中所述的警告,拨号软件中的光告页面就能够自动显示。流氓的河南联通!
  3. 此时电脑反应迟钝,几乎没法儿使用 Word 等程序。

二、解决方法

开始我以为这是因为该拨号软件全自动静默进行升级造成的不兼容,于是准备重新安装新版拨号软件。搞笑的是,在网上搜了半天,居然没在联通的官方网站找到这个新版本的客户端拨号软件。真叫人不敢相信,也许联通不敢把这玩意儿拿出来见人,只能在他们指定的某个地址下载?我已经七八年没有使用联通/网通的服务了,不太清楚。

后来终于在一个不是官方网站,但是看着又像是官方网站的网站(http://www.hacnc.org)上下到了最新版本。安装后结果还是一样。

然后我就尝试使用 Windows 自带的 pppoe 来拨号,不打算使用拨号客户端了。实际这是很多老手的做法,对一个不太了解电脑的人来说可能不好接受,我总担心某一天联通会废了这个方法。

三、总结

因为是给别人安装电脑,所以很多细节没有仔细去研究,但是能够肯定的是,这一切都源于河南联通强制推送广告的无耻行为。然后联通的软件开发又不过关,或者是因为他们野心太大吧,造成了软件还有木马行为,且会引起网络攻击报警。

所以我在这里强烈推荐大家使用电信的 ADSL 宽带(北方用户,南方我就不知道了),费用低些,还没有那么多的麻烦事儿。至少他们给的用户名就是真实的 pppoe 拨号用户名(详见 使用 Windows 自带的 pppoe 代替流氓的联通宽带客户端进行 ADSL 拨号上网 一文)。

附:新旧版本联通宽带拨号客户端对比

新版本宽带拨号客户端应该是河南网通合并到河南联通之后发布的第一个更新版本,并提供了对 Windows 7 的支持。

同时,新版本还改变了 ADSL 真实用户名的计算方法。申请 ADSL 时,联通给用户的宽带账号(如 ZZA10010010并不是真实的 ADSL 用户名。该软件会自动根据用户提供的宽带账号计算出真实用户名,然后调用 Windows 自带的 pppoe 功能进行拨号认证上网。在使用 325 版本进行拨号时,拨号上网后可从 Internet Explorer 网络浏览器的 工具——>Internet 选项——>连接 中显示的拨号连接设置中得到真实用户名(如 2:xxxxxxxxxx)(详见 使用 Windows 自带的 pppoe 代替流氓的联通宽带客户端进行 ADSL 拨号上网 一文)。但是使用新版本 356 时,在 Internet Explorer 中查看到的又不再是真实用户名(如 3:yyyyyyyyyy),可见它又通过别的方法进行了隐藏。

另外,只要用户使用旧版 325 版本拨号上网,下次重起应该就会被自动后台静默升级到 356 版本了。

325 版本拨号客户端界面(来源 http://wenwen.soso.com/z/q159266182.htm)

356 版本拨号客户端界面(图片来源

©

本文发表于水景一页。永久链接:<http://cnzhx.net/blog/hn-chinaunicom-adsl-client-ccitcert_dll/>。转载请保留此信息及相应链接。

1 条关于 “河南联通 ADSL 宽带拨号新版客户端疑含木马病毒” 的评论

  1. 引用通告: 使用 PPPoE 代替流氓的联通宽带客户端进行 ADSL 拨号上网 « 水景一页

时间过去太久,评论已关闭。
如果您有话要说,请到讨论区留言并给出此文章链接。
谢谢您的理解 :-)