我发现,现在网上那些打着“绿色”旗号让你下载的玩意儿,十个里面九个半都是坑。你以为你下的是个游戏、是个视频,结果给你塞了一堆全家桶,或者更恶心的是,直接在你电脑里挖了个洞。我不是针对谁,我是说在座的打着“绿色”旗号的,基本都是流氓。
为什么我碰上这破事儿?
以前我不是给一家小公司做内容审核吗?那个活儿,说白了就是盯着那些标题党和擦边球,看他们塞了什么私货。当时老板特别抠门,说服务器带宽贵,一律压缩,管你文件里夹带了什么玩意儿。我们每天就是机械地扫标题、点开看一眼,合格就放行。
有一次,一个文件包,名字取得特别诱人,我随手点开想看看内容符不符合规定。结果,它不是黄的,它是个木马!当场就把我公司的电脑给锁了,弹出一堆乱七八糟的广告,连公司内网都给瘫痪了半小时。
老板气得跳脚,直接罚了我半个月工资。我跟他辩,说这是文件审核流程有问题,系统自己就该拦住这种危险文件,跟我个人操作没关系。他直接让我卷铺盖滚蛋。我当时就琢磨,我不能白白吃这个哑巴亏。从那之后,我就养成了个习惯:凡是那些名字取得越唬人、越是承诺“绿色下载”的,我越是要扒开看看,里面到底装了什么鬼。我现在干这个,就是为了把这些东西的老底都揭穿了,给大伙提个醒。
逮住那个“绿色下载”
这回盯上的就是这个叫《被俘女忍的献祭秘录》的。这名字听着就让人来气,又是女忍又是献祭,摆明了就是骗人点进去的。它下面还特意标着“绿色下载”,承诺不捆绑、不弹窗。我一看这保证,就知道事情不简单,这绝对是条大鱼。
我立马找了台专用的,就是那种跑完了可以直接格式化的老机器,把文件拽了下来。文件本身很小,才几十兆,解压包里头就一个启动程序和一个空的“更新日志”文本。这空的更新日志简直就是在嘲讽我。
我第一步就是把这个启动程序扔进了我的分析环境里。这玩意儿可不能直接运行,不然瞬间就能给你把系统搞瘫痪了。我先观察它打开的时候都干了什么,它第一时间干的事情,不是启动内容,而是疯狂地访问系统注册表,然后试图连接外部的几个IP。它假装自己是无害的,但那几个连接动作,已经暴露了它的底细。
拆解献祭秘录的详细过程
我把那几个它想连的IP都记下来了。它们藏得挺深的,用了一层壳包着。我费了点劲,把那个启动程序给扒拉了个精光,看看它代码里写了什么。我不用那些花里胡哨的专业软件,就是一点点去试探、去拆解,看它到底要干
我发现它实现逻辑特别简单粗暴,但却很阴险:
- 它运行后,会偷偷往C盘深处塞一个隐藏的DLL文件,这玩意儿才是真正的主体。
- 然后,它会把自己伪装成系统服务,名字取得跟你系统自带的服务一模一样,每隔一段时间就向那几个IP发送数据包。
- 至于那个所谓的“献祭秘录”内容?只是一个内置的、只有几张模糊截图的PDF文档,根本不能看。你下载到的根本不是内容,而是病毒的引子。
最恶心的是,它不是一次性搞定,而是通过那个伪装成系统服务的DLL,慢慢地往你电脑里注水。它会定时检查,要是你删除了某个广告程序,它立马又给你装回去。我看着它那更新日志文本,发现那个文件一直都是空的,但它实际的更新逻辑,全在那个DLL文件里头。它一直在偷偷“更新”自己,加固它对你电脑的控制权。
我追踪了一下它连接的那些IP,发现它们背后是一套巨大的广告分发网络。怪不得敢打着“绿色下载”的旗号,原来是想慢慢地把你变成它的肉鸡。我记录了它这几个月以来的所有行为轨迹,写了厚厚一本记录。我必须搞清楚,这些藏在暗处的鬼东西,到底是怎么运作的。这是我的一个执念,也是对以前那个只认钱、不认风险的老板的一个无声的回击。
到底是个什么玩意儿
这个《被俘女忍的献祭秘录》,根本就不是什么内容文件,而是一个披着性感外皮的流氓软件安装器。它不立马搞破坏,它慢慢地侵蚀你的系统。它所谓的“绿色下载”,就是因为它不会在安装的时候弹窗,但它会在后台偷偷干活,给你塞一大堆你看都看不见的垃圾。那些所谓的“更新日志”就是个幌子,告诉你它在更新,实际上它在悄悄地把你的电脑权限一步步往外传。
我把这个完整的实践记录发出来,就是想告诉大家:别信那些花里胡哨的标题,尤其是标榜自己“绿色”的。你真想看什么东西,就去正规渠道找。你看到这种东西,跑得越快越我继续盯着这批流氓软件的动向,只要他们敢出新的,我就敢把它扒个底朝天,记录下来,让大家都看看清楚。