今天看见一个帖子，某网友最近以8万元把一个通用网址“肚皮舞”这个通用网址卖出了。真是搞笑，想不到都到2007年了，在这样一个全民反流氓软件的时代，居然还有人愿意花大钱购买以流氓软件为基础的通用网址。
通用网址是网络上著名的流氓软件开发商CNNIC（中国互联网信息中心）开发的一个产品。通用网址和中文上网都是其产品，在CNNIC的宣传中，声称注册了中文上网或者通用网址，可以直接在浏览器中输入某个关键词即可访问目标网站，客户就不用在记什么难记的域名了，比如www.yunnanblog.com，如果我注册了中文网址【昆明天空】，那么我直接在浏览器中输入【昆明天空】就能够直接转向（请注意，是转向，也就是说只是把访问目的跳到目标网站）到www.yunnanblog.com。
乍听起来，还真不错。可惜，CNNIC隐瞒了一个基本事实（其实也不算隐瞒，现在已经是公开的秘密了）。这个事实就是，由于通用网址和中文上网并非国际互联网公认的技术，WINDOWS,UNIX等操作系统也都不能识别，要想让电脑识别，就只有非法给客户的电脑安装一些用来解释这个通用网址的软件，于是，CNNIC开发了中文上网和通用网址软件，而这样的软件，符合流氓间谍软件的所有特征，在国内投诉的流氓软件中，长期居于头3三位，网友对其是恨之入骨。
2006年以后，以360安全卫士为代表的一批反流氓软件企业推出了大量清理流氓软件的工具，包括360安全卫士，卡卡安全助手，超级兔子等等，这些软件都把CNNIC的软件作为重点清理对象。从360安全卫士2007年8月公布的数据，自其推出1年来，全国网友主动下载360安全卫士超过了1亿。
1亿是个什么概念呢，意思就是说，全国绝大多数上网的电脑都已经把CNNIC清理出了系统（由于CNNIC的流氓特性，很难完全清理，但至少不能再解释通用网址和中文上网了）。既然通用网址和中文上网赖以为生的流氓软件受到了遏制，那么通用网址和中文上网其实就成为一个摆设，一个只有电脑中了病毒才能访问的地址，这样的地址，没有任何商业上和技术上的价值了。
如今听说还有人花高价注册这样的地址，让人忍不住猜想，注册者本人的机子是不是还没有清理这些流氓软件，还病毒缠身，才能够访问这些地址。因为对于一台相对干净的电脑，根本就无法解析什么通用网址。要不，你在浏览器地址中输入一个中文单词看看！（要么是浏览器调用搜索，要么显示无法显示该页，呵呵）。如果你能访问，那么，恭喜你，你机子上面还有CNNIC的流氓软件！

下面是一些网络上的介绍：
cnnic简介：
CNNIC(中国互联网络信息中心)旗下的“CNNIC中文上网”在诸多民意测试中均为网民投诉量名列前三甲的恶意软件，网民使用奇虎360安全卫士主动卸载CNNIC旗下产品“CNNIC中文上网”和“CNNIC无忧上网工具条”每周超过200万次，在每周用户自主查杀榜单中仅次于雅虎中国。

据网友反应，“CNNIC中文上网”软件有诸多特征符合中国互联网协会颁布的恶意软件定义，如下：
1、 强制安装：未经提示即被偷偷安装在用户电脑中，通过共享软件的渠道无提示捆绑CNNIC中文上网插件
2、 无法卸载：用户卸载时需要用户输入所谓复杂的“验证码“，用户照实输入后，也经常出现无法卸载的现象，更有一些版本的中文上网的卸载程序根本无效。用户也无法手工删除它的文件，造成了无法卸载。
3、最新版的“CNNIC中文上网”还使用了FSD INLINE HOOK技术。

【FSD INLINE HOOK技术】
FSD INLINE HOOK技术这是一种危险而又强大的hook技术。它强大是因为它具有非常强的数据拦截功能和非同寻常的隐藏能力，使得非专业人员很难发现它的存在，并能够强力保护指定的文件。之所以危险，是因为它对系统的依赖性及复杂度都非常高，稳定性完全取决于开发人员对 windows操作系统内核的理解，任何环节稍有变动就可能导致系统崩溃。由于微软并没有对外公布该技术的任何接口文档说明，并明确告知开发者使用正规编程接口，因此，FSD INLINE HOOK很少被用在商业软件中，国内尚未有任何一款商业软件使用此技术。使用这种技术的多数都是病毒、木马、Rootkit程序等恶意软件，如MM@Rootkit.Drop.gy，I-Worm@MM.Trojan.Downloader.zp等
“CNNIC中文上网”使用FSD INLINE HOOK主要是为了保护“CNNIC中文上网”不被卸载，这种底层的、非公开技术的使用造成了网民的电脑极其不稳定，频繁的蓝屏、死机，使得网民无法正常卸载“CNNIC中文上网”插件。

cnnic卸载工具使用方法：

1.使用cnnic中文上网卸载工具进行查杀

2.查杀完毕后重启计算机

3.再用360安全卫士查杀一次

头号流氓软件CNNIC中文上网和通用网址的简单分析与解决

昨晚从CNNIC官方下载了中文上网官方版软件，之所以动它，是因为相对来说，CNNIC的cdnprot.sys比较难缠：

释放文件及文件夹：
C:Program FilesCNNIC
%system%driverscdnprot.sys
%system%driverscdntran.sys
%system%driversgciecfgg.sys
gciecfgg.sys这个是随机的，删除后，还会再生产一个sys文件
%system%cdnns.dll
%system%cdn.dll
%system%CDNprot.dat

添加或修改注册表信息：

[HKEY_LOCAL_MACHINESOFTWARE]
CNNIC
[HKEY_CURRENT_USERSoftware]
CNNIC
[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt]
访问通用网址
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions]
CDNCLIENT
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects]
{5C3853CF-C7E0-4946-B3FA-1ABDB6F48108}
[HKEY_CLASSES_ROOT]
CdnForIE.IEHlprObj
[HKEY_CLASSES_ROOTCLSID]
{5C3853CF-C7E0-4946-B3FA-1ABDB6F48108}
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions]
{5C3853CF-C7E0-4946-B3FA-1ABDB6F48108}
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
[CdnCtr C:Program FilesCNNICCdncdnup.exe]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall]
CdnClient
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices]
cdnprot
cdntran
gciecfgg

注意：
1、在未处理掉cdnprot.sys之前，大部分的注册表操作或删除文件操作，都不会有很好的效果
2、CNNIC的几个dll文件则插入到N个进程当中
3、运行IceSword，则会立即重启，应该是对IceSword做了防范

解决过程：

由于昨天太晚，一时心烦，没有用手工来处理
1、使用CNNIC自带的卸载程序先卸载
2、再用360安全卫士、恶意软件清理助手等轮番扫荡
3、还有一些残尸，手工删除掉

PS：
经过上述依然搞之不定的，重点注意
%system%driverscdnprot.sys
%system%driverscdntran.sys
以及它们在注册表里的位置
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices]