每次回家总是听到爸妈念叨,“电脑越来越卡”、“桌面上莫名其妙多了一堆快捷方式”,再问问前因后果,好像是因为下载一个播放器,要么是安装某程序时一直点下一步造成的,其实是中了“流氓推广程序”。
什么是流氓推广?顾名思义——性质是“流氓”,目的是“推广”。他们会想尽一切办法把合作厂商的程序安装到你的电脑上,以此赚取丰厚的“推广费用”,其实用技术的角度来看也就是下载软件,然后通过“静默安装”偷偷给用户装上去。
流程分析
首先,只有当你下载并打开这类程序才会引发后续一系列的“流氓行为”,此类程序的下载页面通常……
有这样的:
这样的:
还有……这样的……(为了本文能顺利发出而不至于收到有关部门的快递,对图像做了一些必要的处理,且处理范围略大……)
我想大家也都明白,这种网站小朋友看了根本把持不住啊……结果当然是言听计从的人家让干什么就干什么,让装个播放器还不痛快?但你只要装了——就中招了!
其实这个网站根本就是一个假的,哪怕你装了所谓的“播放器”回到这个网站,它还是依然会再弹出来,类似的网站还有让你发链接给好朋友,满多少人才可以访问芸芸。
分析
此类程序大多是NSIS安装包,直接解压即可看到里面的程序。但玄机却在NSIS脚本中。每个NSIS包都带有一个安装脚本,NSIS安装包除了释放包里的文件之外,还会根据这个脚本的内容做一些额外的工作。问题就在于此:
一个163的博客是怎么回事?怀着好奇的心情打开了这个链接。
呵呵呵一看到这个就明白了,是软件利用163博客隐藏下载地址,直接右键查看源代码:
果然是和我猜想的一样(弱爆了有没有,哥玩剩下的),接着咱们用虚拟机抓包看看:
以下是我虚拟机测试中的一个进程截图,圈出来的进程全都是正在推广的程序安装进程:
很可惜,居然连360防护都过不去,开启360的情况下会被无情的阉割(果然还是太蠢了,难道不会利用360快盘做中介吗?)
原文地址:
申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!
