近期我的電腦總是不定時的彈出同城色情交友網站,一彈就是2個頁面,頁面彈出後,發起調用瀏覽器彈出色情網站的主程式自動退出,導致無法查明到底是哪個應用程式發起的彈出頁面視窗,我乾IT工作十多年,一時間認為我的電腦中毒了 ,通過PChunter,Powertools等工具卻沒有發現任何中毒跡象,也沒有異常 ...
近期我的電腦總是不定時的彈出同城色情交友網站,一彈就是2個頁面,頁面彈出後,發起調用瀏覽器彈出色情網站的主程式自動退出,導致無法查明到底是哪個應用程式發起的彈出頁面視窗,我乾IT工作十多年,一時間認為我的電腦中毒了 ,通過PChunter,Powertools等工具卻沒有發現任何中毒跡象,也沒有異常程式。下麵是彈出的色情交友網站的圖(虛擬機中360瀏覽器展示網址)。
我物理機本機經常會跑網銀與網游,事關信息安全,但無奈無法抓住彈窗的罪魁禍首。然而,前幾日靈機一動,寫了個應用程式,用來替換預設瀏覽器的exe的位置,大灰狼調用彈框就會觸發我編寫的程式的啟動,然後我再通過我的程式獲取到父進程的各種信息,這樣大灰狼就抓住了,哪怕是他調用了我的程式馬上就退出,他也跑不掉,說到這裡。馬上開寫,下麵是VB源代碼:
Private Sub Form_Load()
Dim CP As String
Me.Caption = "父進程檢測"
sComputerName = "."
CP = App.EXEName & ".exe"
For Each Wmi In GetObject("winmgmts:\\.\root\cimv2:win32_process").instances_
If Wmi.Name = CP Then
ppid = Wmi.ParentProcessID
Text1.Text = ppid
Text3.Text = Wmi.CommandLine
Set WMI_Obj = GetObject("winmgmts:\\" & sComputerName & "\root\cimv2")
Set WMI_ObjProps = WMI_Obj.ExecQuery("Select * from Win32_Process where ProcessID='" & ppid & "'", , 48)
For Each ObjClsItem In WMI_ObjProps
Text2.Text = ObjClsItem.CommandLine
Text4.Text = ObjClsItem.ExecutablePath
Next
End If
Next
End Sub
然後把他編譯成為chrome.exe(因為我預設瀏覽器是chrome),然後把他放到谷歌瀏覽器的目錄下,等待大灰狼程式調用。
果然不其然,2天後,大灰狼又調用預設瀏覽器打開色情網站,被我抓了個正著,話不多說,看截圖:
上圖是我把當前進行命令行所指向的網址在edge瀏覽器中打開的結果,下麵,我貼上這幾個文本框依次對應的內容
當前進程命令行:"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" -- "http://west.ytxbcd.com/iclk/?s=NDI5NjUyfHx8eHh8fHx8fHx8fDE0NzE1Mjg1MjV8MTEwLjE4NS4zOC4xOHw2MDd8Y3BtfDl8MTMzN3w2NTh8MTM4NjR8OTMx;c0c16c9c4fc360360ea81da0b7df07c5;http%3A%2F%2Fyb12z.net%3A99%2Fjump%2F%3Fp%3D1001%26a%3D1%26t%3Dvip4%26s%3D%7Buid%7D&a=22.0.0.209;1920x1080x32;http%3A//www.ts-auto.cn/;http%3A//ad.173st.cn/client/1.html"
父進程PID:19432
父進程命令行:"C:\Program Files (x86)\Baofeng\StormPlayer\BFLp.exe" /type=dpl /time 5.00 /jump 2 /js 0 /jt 0 /sk /play /url http://ad.173st.cn/ad1/cpm.html /refer
父進程目錄:C:\Program Files (x86)\Baofeng\StormPlayer\BFLp.exe
此時我再看,這個大灰狼程式BFLp.exe程式已經退出記憶體,自動結束了,因此常規方法根本無法找到這個父進程到底是誰?大家看看,這個發起主進程就是大名鼎鼎的的暴風影音啊!沃德天!竟然乾這樣的勾當!
我們來驗證一下,在命令提示符中執行父進程命令行,然後會跳出下麵的視窗:
通過火絨視窗定位這個彈出顯示如下:
這個視窗的意思是上面的msgbox視窗是由bflp.exe彈出來的。我通過行為監控發現的確是這個進程調用了預設瀏覽器打開了色情網站
再查看這個bflp.exe,的確打著暴風影音的數字證書,你別告訴我這不是你們寫的程式!!!
不要告訴我這個是DNS污染,不要告訴我這個是運營商劫持。父進程命令行在任何一臺機器上執行,都會彈出這樣的色情網站,我想問問你暴風影音,你們就是Qvod 二代嗎?如此噁心,流氓的行為,你們的確乾出來了。話不多說,卸載,永別,並且我會告訴身邊的人,真愛生命,遠離暴風軟體!
