2007年02月27日,星期二

近来,一些别有用心的人利用QQ传播木马病毒,俗称“QQ尾巴”和“QQ林妹妹”。该病毒会偷偷藏在用户的系统中,发作时会寻找QQ窗口,给在线上的QQ好友发送诸如“快去这看看,里面有蛮好的东西–”之类的假消息,诱惑用户点击一个网站,如果有人信以为真点击该链接的话,就会被病毒感染,然后成为毒源,继续传播。希望广大QQ用户密切注意该病毒的动向。

——腾讯QQ帮助中心

QQ之尾巴病毒

尾巴病毒可以说是QQ上滋生的一个怪胎。在很早的时候,QQ上很少这种东西的。后来随着流氓软件的兴起和盛行,才开始有人以QQ聊天消息劫持这种方式来散布病毒。

记得当年收到的第一类都是,这个网站不错http://nings.cn/ ,来看看吧?或者,看看我刚传的照片http://nings.cn/ 等等。这个时期,是病毒的高发期,由于很多网友缺乏警惕性,以及大家还都基本善良,指望QQ上有个艳遇泡个MM,而不是到处一次一百包夜三百,那时,互联网是美好的。

后来点了,上当了,死机了,QQ被盗了,那些第一个被螃蟹咬的人,开始告诫别人,QQ消息里,别人发的链接不要轻易点。

后来发现互联网不过是个大的垃圾桶,对互联网满怀希望和信心的一批人,也开始看到苍蝇和蚊虫,QQ成为了中国互联网萌芽时期的象征,很多人开始以告别QQ作为成熟的标志,在QQ个人资料上写下“此QQ号码已被双规”之类的句子,再不上线。

这时的病毒链接都是生猛到和手机短信一样,直接以性生活为载体,却已经几乎骗不到人了。

我现在对别人的告诫是,不要点击QQ中的任何链接。

QQ尾巴之病毒

为了打击病毒和盗号,QQ引入了软键盘,引入了键盘加密保护技术,QQ2007版甚至引入了安全医生这个独立的程序,让你可以在登录前对本地计算机进行扫描。(如果国家有关方面向腾讯取经,中国的艾滋病患者也许不会这么多。)

然而让人难以置信的却是,QQ一边大力打击各种利用QQ诈骗、传播病毒等行为,提高人们的安全意识,另一方面却自己利用QQ,自己劫持用户消息,插入自己的消息尾巴链接。

图:从手机QQ发往QQ的消息被强制插入的尾巴

QQ的消息尾巴宣传的是QQ的产品,没错;点击没有病毒,也没错。但在一个治安混乱的地区,总是有人被抢被杀的地区,人家在那儿好好走着,你一拍肩膀:“嗨!打劫!”人家会作何感想?

尽管你事后表明你只是开个玩笑,你是麦当劳在送打折券的,人家会领你这个情吗?

我一个搞IT多年的朋友接到了我从手机QQ上给他发的消息,

疑惑地问我,你中病毒了?

QQ病毒之尾巴

不得不说,目前中国的互联网环境的恶劣程度在国际互联网上是数一数二的。

我们一直处在一个笑贫不笑娼,以卖身为荣的时代。各种流氓插件你抢我夺,你有个3721,我出个CNNIC;你CNNIC狠,我百度搜霸更狠;你敢弹出个窗口,我敢弹出个页面,你弹出个病毒,我就弹出个木马。一夜暴富的太多,不知多少人红了眼?用户的电脑是什么?地盘而已。奶酪而已。讽刺的是,这些散布流氓软件的机构,都是当年研究谁动了我的奶酪之人。

我们不喜欢学习Don’t Be Evil,我们喜欢适应中国国情;流氓软件是恶意而已,杀流氓软件违反了法律;法官不痛恨流氓软件,也许不是他没中过,而是他不知道自己中而已。

中搜和CNNIC,唯一的能事是流氓,我们不齿于提他。而百度的搜霸,QQ的地址栏搜索,则是尤为让人惋惜的产品。它能换来多少流量和市场?做这些让人咒骂的产品,是嫌自己的人品太好了吗?

当然,流氓说到最后,一统江湖的,谁也想不到,竟然是中国网通和中国电信。

随意过滤封锁各种网站, 劫持用户访问到自己的广告站点,弹出广告窗口,插入广告帧,今天送你彩铃,明天助你勃起,甚至直接推送恶意软件到用户桌面。两家老大哥惺惺相惜,对江干杯。

最近谣传中国网通和中国电信要合并了,两个流氓运营商握手甚欢,你给我分享互联星空,我给你分享绿色上网,纳全国用户于囊中。用户呢?

该戒网的戒网,该出国的出国,让我们散了吧。

2007年01月16日,星期二
据各地网民反映,今天数以百万的米国人民毫无征兆地同时中了一种恶性病毒——熊猫烧香。这种病毒的特征是电脑上所有的可执行文件都变成了一个熊猫烧香的小图标。而奇怪的是,他们都是米国网通的用户。

——《花生炖造谣报》今日头条

1.陈小姐

陈小姐是米国最大的杀毒软件公司卡巴烧鸡的客服代表,一大早,她还走在上班的路上吃着包子油条看着花生炖造谣报的时候,她还不以为然,但一个包子下肚的功夫,电话就被客户打爆了。

他们都碰到了这个病毒,作为卡巴烧鸡用户,因为卡巴烧鸡承诺其用户均终身不会感染任何病毒,如果感染病毒则会得到巨额赔偿。

陈小姐握着烫手的电话,开始深深担心起来。

为自己的薪水,为昨天刚看上的那件貂皮大衣,为每周末的香薰SPA,为相中的网上那个IPOD按摩棒……

她不再接电话,一直到公司。

然后。

她长长地舒了一口气——一切担心忽然烟消云散般消失了。

因为,卡巴烧鸡宣布破产倒闭了。她咽下了最后一口包子,打了一个空虚而又满足的嗝。

2.老郑

老郑今年快从大学毕业了。

叫他老郑,因为年纪轻轻的他在论坛上一直用这个ID。

他是版主,晴天六月色的超级版主。

这天,他在审查帖子的时候,发现一个叫hellopanda的人,发了部他喜欢的欧美系列。

居然还有背景音乐。

本来他已经巡查了上百个帖子了,每个帖子还都认真地标上,已查至XX楼,

给灌水的人减了分,给好内容设了精华。他想,我审查这最后一个就下班吧。

他下载了之后,一点击,发现所有的图标都变成hellopanda了。

电脑崩溃了,他忽然觉得很莫名的困倦起来。

睡前最后一个意识就是,这图标,这么漂亮?

3.康某

康某是米国网通的技术员。

作为一个技术上的骨干,他在打麻将的时候却从来缺乏技术。

他不缺钱,他缺的是手气。他从来不用Google,他痛恨“手气不错”这样的字眼。

他用“米国搜索” 这么确信无疑没有什么漏洞和排他的东西,

他天然信任一切带有米国字眼的东西。

白天身边有人的时候,他最喜欢上的网站是米国人民网;晚上身边没人的时候,他最喜欢去的网站是晴天六月色。

在晴天六月色,他是除了老郑外最高级的会员。

他有查看所有帖子包括回收站帖子的权限。

他不用每月给老郑的爱存不存银行帐户汇500美元以换取这个权限。

老郑并不是一个热爱和平博爱众生的人。

因为,他所付出的代价就是,在米国网通的骨干网络上,悄悄地插入晴天论坛的页面。

他就拥有了一个免费超级帐号。

甚至还会每月收到用来打麻将的钱。

他坚信他是仁慈的。

4.nings

nings也在米国。他每天看性浪科技,他看到了右下角又出现了米国网通的流氓弹窗,没有关闭按钮,是个闪烁的Flash有个女人在一遍遍地高声吟唱“月亮之上”……

他关掉了刺耳的音箱,因为那个广告无法停止。

然而他发现,有程序忽然自动安装起来。

昨天在ICQ上遇到一个做交易的MM,说包夜五百刀。

她还说,在我们这个自由的国度,

我是不会强奸你的。

2006年12月28日,星期四
面对形形色色的流氓软件、流氓插件,我们愤怒,但总也心平气和;因为我们知道,有杀毒软件在那里,有360安全卫士、瑞星卡卡这些流氓杀手在那里,我们总觉得有点依靠;而如今,当流氓运营商开始崛起,觊觎手里这1/2中国网民,开始阴险一笑的时候,我们突然发现,再没有什么救世主了。

今天,本来是再也平常不过的一天。如果我没在今天回家,用家里的河南网通宽带上网,也许就不会这么愤怒;如果不是我知道点河南网通的傻逼行为,也许我愤怒都找不到对象。

各位看官都知道,我一直用Firefox的。Firefox的一大好处是,流氓插件很难插进来,即使偶尔能插进来,也很少有插得天衣无缝的。而今天,我就真的碰到了插得天衣无缝的广告。我是在网易看新闻的时候碰到的。首先,我能区分出它不是网易本身的,对于经常上网易的人来说,关上灯也能摸清它的习性;然后,当我访问我自己的博客的时候,也看到类似的广告一次一次推出来,我就意识到情况的不妙了。

可以看到的情况是,网页原始title被隐藏,替换成网页的url,只要伴随着这种情况的出现,网页打开后就一定会弹出右下角那个推送广告。

这个广告极其猖獗,在我浏览的时候,弹出几率大于1/4,以至于我开始的时候怀疑,我是中了流氓软件。

这得益于流氓运营商在我印象中尚没有恶劣到这个地步。以前他们都是在你拨号上网第一次打开网页的时候弹一下,一般一天也只有寥寥几次。而这次如丧心病狂般的弹广告,的确没有让我首先怀疑它。

对于没有什么技术能力的我来说,除了查查进程,看看msconfig,就只能用360安全卫士和瑞星卡卡来杀一下。我更新了这两个软件到最新版本,然后查杀,清除掉一堆小喽罗,而问题依然在。当然,这可能存在着漏杀的情况,但就我平时的使用经验,在这两个软件都使用的情况下,能漏掉的的流氓软件微乎其微。

于是,我开始将目光转向流氓运营商。从title的变化,我注意到,在被插入广告时,网页的打开方式犹如设置了一个隐藏域名转发,而接下来,当跳转回网易新闻首页的时候,我发现了流氓的踪迹:

上面,是正常情况下访问网易新闻的截图(网易广告条已被Adblock plus过滤),而今天打开的网易新闻,却被插入了一个帧,并框架了网易自身页面在里面。右键查看该帧属性,如下:

我们注意到该帧地址为:http://yy.ssebk.cn/promotion/shusheng.html?url=http://news.163.com,而如果在浏览器中直接打开该地址,发现会跳转到http://news.163.com/并弹出一个推送广告!这下恍然大悟。

试着将url=后面的地址改为http://www.baidu.com等等,均出现本文最初提到的那种广告。

这样问题就清楚了,有人(或某软件)拦截我访问的网址,使之隐藏转到“http://yy.ssebk.cn/promotion/shusheng.html?url=原URL”这么一个地址,然后通过这个地址,弹出广告到用户桌面。由于该广告并非常规弹出形式,导致IE7,Firefox等广告拦截功能均失效。

然后还有一个问题,这到底是一个高明的流氓软件,还是运营商捣的鬼?

内事不决问老婆,外事不决问Google。搜索了一下,就发现了这么一个真相大白的页面:http://www.800so.com/so800/cms/getCmsDetail.action?id=648

北京紫光绿信科技有限公司清华紫光集团下属的控股子公司……紫光绿信具有深厚的电信行业技术储备和从业经验,是目前国内最大的可以提供电信级互联网内容过滤服务的提供商。我们与中国电信、中国网通等几大电信运营商结成了战略合作伙伴,共同为用户提供高品质的电信增值服务——“绿色上网”业务。为更有效的保证绿色上网业务的工作发展,并结合目前国内企业的宣传需求,互联网发展需要,进一步推动目前互联网宣传作用的有效性,定向性,确保企业的宣传效果,于2006年合同中国网通中国电信推出了新的企业宣传推广方式“服务器推送”(i-frame)以使企业的更多信息通过互联网直接被目标受众所获悉。降低企业宣传成本,增加企业宣传功效,力争在新的互联网推广产业中成为领航者。

该网页还称,

需求永远是供给的唯一动力,一个无穷大的空白市场和无限的需求之间必然要产生一种产品来作为桥梁。紫光传媒奉着服务网民,提高企业竞争力的原则,誓必将服务器推送(i-frame)做到最有效,最有针对性的新一代网络推广产品。

原来他们是在服务网民,原来这是一个立下壮语,要“誓必”强奸所有网民电脑的企业,这是何等的恬不知耻。

我愿意说话但不懂技术,我只能借助Google尽我所能;有人懂技术却不愿意说话,这是他们的个人习惯。而我期待的则是懂技术又愿意出来说话的人,期待你们站出来。

3G前夜,我们很遗憾的看到,河南网通没有将功夫用于改进服务,保留潜在流失客户上,而是费尽心思变本加厉的从用户身上榨取价值。 而清华紫光旗下的绿信科技,则让人看到所谓民族品牌的没落和流氓习性。尽管周鸿一似已从良,但中国互联网仍然没有迈出流氓时代,仍然处在一个以耍奸剪径为荣,以规矩行事为耻的时代。

我想,等到3G后,国外运营商到来时,我们也许会进入一个以网通电信用户为耻的时代。这一切,已有先兆。

2006年05月26日,星期五
Windows Update出现了广告。
今天打开了WU,发现左下角出现一个框架广告,我靠。
肯定不是微软的。
可能是流氓软件。(基本排除了
可能是流氓运营商。(基本确定了
刷新一下没有了,待我详细检查。

屏幕截图在此
广告地址在此

(update2006.05.27.02:10)
鉴定结果:这是流氓运营商河南网通平静一段时间后的新动向, 在世界杯期间通过恶意、无耻、非法手段,向用户IE强行插入sina广告代码,达到其或公或私的牟利目的。

我以前已经写过相关问题,又发现雒都游子的若干系列文章,推荐阅读:

  1. 河南网通在上网软件里加广告
  2. 河南网通在上网软件里加广告(续)
  3. 河南网通在上网软件里加广告(续一)
  4. 河南网通在上网软件里加广告(续二)
  5. 河南网通在上网软件里加广告(续三)
  6. 河南网通在上网软件里加广告(续四)
  7. 河南网通在上网软件里加广告(续五)
  8. 河南网通在上网软件里加广告(完)
  9. 河南网通,变本加厉

2006年03月15日,星期三
今天刚一上网,发现河南网通频频向浏览器强行插入弹出广告。当然由于我用的IE6SP2,都给自动过滤了。

不过我还是想说一句:河南网通,你怎么能这么弱智呢?我一打开浏览器你就弹出广告,你不知道我的首页是Google么?你不能等到我访问新浪的时候再弹吗?

推荐阅读

河南网通成众矢之的?网民强烈抗议导致“升级客户端事件”升级