6月23号。没错,就是那个风雨交加的傍晚,我的浏览器被劫持了。MCAFEE一直忠实履行着他的职责——禁止创建EXE、禁止创建DLL。是我,让他放弃了抵抗。
自从办公室来了新同事,计算机就开始有点不正常。在设置了严格的防火措施后,似乎还仅仅是几个不正常现象而已,机器还没有真正中标。随后给毒霸提交可疑文件,http上传完成后提示我“你还没选择上传的软件”;给MCAFEE提交可疑文件,吃力地在全英文界面下提交后一直没有回音。
勉强硬挺了两个星期。前天下午,因为要测试一个号称可以监控网络信息的0DAY软件,临时把防火墙关了5秒钟,结果……压抑许久的病毒+流氓软件爆发了。
就在瞬间,系统连中四个木马,安装了五种流氓功能条,搜索页被更改,默认首页被更改……。整个系统就好象被人倒了一马桶的粪水,到处充斥着病菌、陷阱、拼命蹦出来的广告。
呆了一下,开始启动MCAFEE清理残局。*.DLL的病毒删除了3个,以前高度怀疑的那个文件,终于在升级病毒库后被查处(另一个“移动失败”的病毒在安全模式下成功清除)。
然后就是目测进程列表,关掉可疑的进程。系统自带的那个进程查看器太不透明了,很难作出判断。后来使用了PrcView来查看进程的详细情况,包括进程所在的目录,事情才变得顺利一些。简单杀完毒后,又反安装掉了那些流氓软件,一切看起来似乎平静了下来。只是IE首页还改不回来,这应该是小问题。天色已晚,下班。
今天本以为上班再安全模式扫一下毒,恢复首页就万事大吉,没想到又是一个上午的折腾。查找资料中,我才第一次了解“浏览器劫持”的概念。
“浏览器劫持”这个东西现在还挺火。常见的劫持手段,比如改首页、改搜索页、锁定设置这些都算是小打小闹。现在玩的是安装插件,并且是连XP SP2中“管理加载项”都不会默认列出的插件。
这次批发式的中标,让我全方位接触了现在流行的“浏览器劫持”方式。
安全模式杀毒、删除流氓软件、改注册表中的IE项目只能对付最常见的劫持手段。有几个新兴的流氓软件在反安装后,竟然还在运行,甚至还在“启动”中运行。以前以为3721、YAHOO、CNNIC不要脸,现在终于看见更不要脸的了。SHIFT+DEL删除他们。
realplay有个隐藏的启动程序,本来我以为他应该是无害的,但是这几天竟然利用自动检查升级的机制做起了激情电影的广告。本来更改为手动升级就可以了,但是我实在为realplay的堕落而悲哀,让他耻辱地活在启动组里,不如进入C:\Program Files\Common Files\Real杀了他(具体文件名忘记了)。
忙活了这么久,为了什么?还就就为了测试那个号称可以监控网络信息的0DAY软件:Ming.Network.Monitor。于是拿出来测试一下,否则白忙活了。结果不出我所料,它只能监督本机流量信息,而且抓不到QQ的聊天记录。它根本做不到完整监控(除非是在一台网关服务器上)。不过这个软件倒是检测到了一些隐藏的浏览器请求:我发现IE浏览器在空闲的时候,竟然向“www.ccnnlc.com”发出了一个访问。而且每浏览几个页面就会从“222.36.41.150/hzyt/client2”取一个广告页面蹦新窗口显示。我的天啊,计算机里的应用程序清得不能再干净了,注册表也没什么不对头,除此之外也只有“管理加载项”里的东西才能这么玩了,可是列表中看不出有什么不对的。偶然中我看到了“管理加载项”中还有一个“IE已经使用的加载项”下拉菜单,在里面发现了四五个来历不明的插件,其中一个竟然是我反安装、删除了程序文件夹的流氓软件副本,NND,玩“一鱼三吃”啊。一怒之下把他们全禁止了。
世界终于安静了。窗外淅沥得下着雨,此情此景就好象《英雄》中无名与长空决战的那个雨中街亭。我终于从流氓软件的魔爪中把浏览器解救了出来。真是一个战斗的上午。
事情真的完全解决了吗?天晓得啊!
(补充:事实证明莫名其妙的黑手依然存在。这些流氓……呜!只好重新GHOST还原。查看还原后的IE加载项目,两种列表只有+-2的误差,回想起来,可能是IE加载项禁得还不够彻底的缘故。)