221.5.250.163 这个IP地址,在我每次打开“我的电脑”的时候防火墙总是报告Explorer.EXE要访问221.5.250.163的16000端口。开始不以为 意,但是总是出现这种情况使人很是郁闷,难道我也被种马了?Explorer.EXE被Hook了?不过很少有见到木马或者病毒使用这么大的端口号的。一 查221.5.250.163是重庆地区的IP。使用麦咖啡,AVP查杀无果
没时间去自己分析到底怎么回事,到网上查询了一下,有的说是中毒,有的说是微软的更新补丁后来看到了这篇帖子,才明白是怎么回事。
以下转帖(不知道作者是谁了,多谢他的提供)
关于迅雷在 v5.7.3.389 及更高版本中加入 pubstat.sandai.net 链接
今天没事把迅雷从原来的 v5.5.5.269 更新到了 v5.7.3.389 版,在重新开机后偶然双击“我的电脑”(因为我用TC,基本上从不点“我的电脑”)后发现防火墙竟然报警,说 explorer.exe 尝试连接 IP 221.5.250.163,感觉非常奇怪,第一感觉是中马了,立即分析,最后找出原因如下:
迅雷在 v5.7.3.389 及更高版本的 XunLeiBHO.dll 中加入了以下网址的链接:
pubstat.sandai.net
其 IP 地址是:
221.5.250.163
sandai.net 应该就是迅雷在线的网址了。这个 XunLeiBHO.dll 会复制自身一份并重命名为 xunleiBHO_Now.dll,位于安装目录下的 ComDlls 目录中,与浏览器挂接。既然是 BHO(Browser Helper Object,浏览器辅助对象,简称BHO),并且加了上面那个网址链接,就比较讨厌了。当你初次双击“我的电脑”或打开 IE 的时候就会后台访问这个网址。就我本人来说,不喜欢这样,还是直接转成最近的无此链接的低版本 v5.7.2.368。把能找到的迅雷几个版本都拿来看了一下,没这个链接的最高版本就是 v5.7.2.368,后面的 v5.7.3.389 和 v5.7.4.401 都有了。我是偷懒,直接用 v5.7.2.368 的 XunLeiBHO.dll 替换了新版的 XunLeiBHO.dll 和 xunleiBHO_Now.dll,对下载普通文件来说,暂时没发现什么问题,就没管了。
因为我只是用迅雷下载一些普通文件,也不用它下 BT 什么的,不打算去探究其新添加这个链接是何用意,猜测一下可能是用于上传共享的。只是自己不喜欢这种后台悄悄访问网址的行为,在这里写下来,仅是给大家一个提醒。
—————–转帖完毕分割线———————
根据以上帖子,可以做一个估计(仅仅是估计):访问这个IP的原来是迅雷的一个组件调用了Explorer.EXE,本来你是开着迅雷才会上传文件 的,可能迅雷觉得那样资源太少,也太慢,于是加入了这个功能,现在就是不开迅雷也会上传,但是为什么非要调用Explorer.EXE呢?大家都知道 Explorer.EXE负责Windows的资源管理器,我们获得系统内的文件都需要通过Explorer.EXE,为了获得更多的资源文件迅雷于是加 入了这个功能,可怕的是你的机器中的一些机密文件有可能无法得到保证了。
我其实对迅雷没有什么恶感,它的下载速度的确是快,也的确是较上一代的下载软件有了一个大的突破,不过还是希望迅雷公司去掉这个很是有争议的功能,哪怕是让用户可以自己控制哪些可以上传,哪些不可以总成吧?!
另外,还有另外一些IP,大家如果发现 Explorer.EXE访问这些IP的16000端口,也有可能是这个原因。
125.46.42.152
221.12.90.19
221.5.250.162
221.5.250.163
221.5.250.164
221.5.250.165
221.5.250.166
221.5.250.167
60.19.64.41
60.19.64.43