“淘宝网”官方放马!?

昨天上了一下“淘宝网”逛了一下,结果今天系统启动之后不久,出现了一声“导航”Windows 音效(就是打开某文件夹,点击某链接之后的那声),不久就传来了关于“支付宝”能有效保障网络的交易。然后,我立即打开由 Sysinternals 开发的 Process Explorer 查看了进程树,果真发现了可疑进程。如图:

y1p-V0ryrQoPFsW93iYueFY2lbUcUnK3Jpv_GHFtAABrlbFlGEvodHT-YF98-14BNyCBIpOzTFDq7CgjFLEPIY-MQ?PARTNER=WRITER 

似乎应该说一下,Sysinternals 的很多工具是最有用的第三方的管理或查看工具,现在已经被微软整合到 TechNet 之下,所以肯定是 IT 专业人士应该常备的工具。在图中我已经标明了此间谍软件的获取与运行方式。应该不需要过多地去用文字说明了吧?

而此文件在 WINDOWS 目录下的 SYSTEM32 目录中存在,文件属性如图:

y1p6a20sSaxusj3yi4Ya0l-6JmnNjofVedVzEqIazf8ZC7i5O7Eo9I24T38_ZITWY-xzIBLMhPE_cjftJQI4UZhvw?PARTNER=WRITER

从文件名上来看,与 Windows 自带的组件“任务管理器”的“taskmgr”十分相近,用于打烟雾弹十分有用。然后从文件属性上来说,没有版本信息等内容,就这点已经肯定不是什么好东西了。如果是正规软件,则必须留下版本信息——就连我在去年说的西班牙人自改的 Windows Media Player 11 的“WMP12Beta1”都留下了版本信息。那么,这一文件到底是什么来头?先看这图——国内杀毒软件似乎对于此文件都放过了,而我最新版的 Windows Defender 的定义竟然从以前的认识为病毒到不认识了……所以,我只能跑去另一个系统去查证:

y1pTTzb_MfNTp-O0CoM7-PWjASuBkIX67X0mQWdoRZnS4pvmtszAup3RnDewQPv_pFwhfvRYX-_wX3F_hG0OcIfjA?PARTNER=WRITER

应该不需要多解释了吧?

  1. 隐藏 IE 窗口,后台方式播放有声广告
  2. 始终尝试目标的 URL 地址能够被目标 IE 打开
  3. 使用与系统组件类似的文件名
  4. 尝试始终运行

就这几点,就算没有查出病毒名称,也已经是 100% 的间谍软件(国内叫:流氓软件)了。至于还是淘宝网官方就允许呢?还是被人恶意挂上?这就不用去说了——因为他的广告中就有为“支付宝”做广告的内容,怎么可能是被人黑了网站后挂马呢?所以,这基本是可以认定为淘宝网官方恶意放上的——至于目标,不言而喻。但是对于此等以不法手段入侵他人计算机系统的行为,这可是犯法地哟。