关于昨天提到Google搜索被恶意劫持，发现了一个恶意BHO，清除掉，问题就消失了。如图：



当我搜索关键词nings，结果跳转到这个链接，你能从中分析出来劫持者的帐号吗？

1.不请自来的Google Toolbar

办公室的电脑上不知什么时候多了一个Google Toolbar。由于那个电脑很多人都用，我第一次看到的时候，以为这儿又多了一个Google的粉丝，以为这是无产阶级革命的胜利。这是但当我冷静下来，我发现这不过是我的一厢情愿，人家并不知道夏瑜是谁，我看到他们，在搜索的时候，对IE里那个出现的Google首页视而不见，而是仍然在地址栏输入www点，百度点com。

不管如何，出现了一个Google Toolbar，对我倒没有什么妨碍，因为我自己的电脑上，就装着这个玩意。至少，Google搜索啦，书签啦，网页即指翻译啦，PageRank啦，这些功能还是我比较常用的。所以，虽然我经常为这个电脑清理无用软件，我也没有作把它删掉的打算。

但当我用它搜索东西的时候，问题就出来了。

2.被利用的Google 搜索

搜索结果出来这个页，我一眼就看出了问题的所在。



不是我夸我自己火眼金睛，而是它的无奈，穿皇帝新装必然要露出小jj，这是和苹果指定要落地是一样的道理。这个搜索结果页简陋而难看，更重要的是，我认识它。

当年我幻想通过Google Adsense 捞到自己第一桶奶酪的时候，我曾对它充满希望。我放上了大块的广告，在文章的下面，在右边的侧栏，在最下面的页脚。各种形式，AdSense for content、for search还有推介，都试了。尽管至今还没赚了一美元——这是后话，但Google 的各种广告形式已被我研究得差不多。而Adsense for search，它的搜索结果页面和这个用Google 搜索页面，俨然如同孪生兄弟。

而点击搜索结果页右上角“这是什么”，google给出了如下说明：

What is this page?

This set of search results and advertising is provided and hosted by Google. Website publishers participating in the AdSense program can place a Google WebSearch box on their site and Google will deliver search results and search-targeted ads. When users click on these ads, Google shares the revenue with the web publisher.

意思就是说，在这个Google搜索页面，有人点击搜索结果页面的广告的话，提供搜索的人就会由此获得收入。

这是明显的恶意欺诈，对Google，对用户。

3.美金的诱惑

在一开始，我以为这是修改了Google Toolbar来改变用户的Google搜索路径，但后来，我发现情况还不是那么简单。

用Google Toolbar搜索，结果被改为某个Google Adsense帐号的搜索，只是其一。不知Google怎么想的，把这个页面做得异常难看，这也是我一眼看出异常的原因。

下一步，当我在地址栏中想访问google.com使用正常的搜索的时候，更意外的事情发生了。

不管访问google.com,google.cn,还是google.com/nrc，显示都是正常没有问题的，然而当我输入关键词搜索的时候，搜索结果却自动又转向了Google Adsense for search的结果页面！

由此判断，至少有一个恶意进程在运行，以劫持用户的搜索结果，引导到自己的Adsense for search界面。Google toolbar本身应该没有什么问题，也许它是强制安装，但只是为了把用户的注意力转移到Google搜索而已。显然，这是非常的别有用心了，而不只是一个小小的把戏。由于Google的天然特性，用户很难能把Google和流氓软件联系起来。然而，我眼前这个Google 搜索，已经沦为不折不扣的赚钱工具了。

今天是周末，由于有事，我没有继续在办公室分析那台电脑，但是至少目前，卡巴斯基和360安全卫士扫描本机，还没有任何报警。Google搜索被恶意劫持这种情况已经出现，它对我们有何影响？它不仅损害了Google的美金，更进一步，它影响了用户的体验，并用作恶的态度将Google和不作恶撇得泾渭分明。创意没有发挥在建设和谐社会，而是投机倒把，相对于运营商的无耻，国人的不争才更加让人悲哀。

 

 

近来,一些别有用心的人利用QQ传播木马病毒,俗称“QQ尾巴”和“QQ林妹妹”。该病毒会偷偷藏在用户的系统中，发作时会寻找QQ窗口，给在线上的QQ好友发送诸如“快去这看看，里面有蛮好的东西–”之类的假消息，诱惑用户点击一个网站，如果有人信以为真点击该链接的话，就会被病毒感染，然后成为毒源，继续传播。希望广大QQ用户密切注意该病毒的动向。

——腾讯QQ帮助中心

QQ之尾巴病毒

尾巴病毒可以说是QQ上滋生的一个怪胎。在很早的时候，QQ上很少这种东西的。后来随着流氓软件的兴起和盛行，才开始有人以QQ聊天消息劫持这种方式来散布病毒。

记得当年收到的第一类都是，这个网站不错http://nings.cn/ ，来看看吧？或者，看看我刚传的照片http://nings.cn/ 等等。这个时期，是病毒的高发期，由于很多网友缺乏警惕性，以及大家还都基本善良，指望QQ上有个艳遇泡个MM，而不是到处一次一百包夜三百，那时，互联网是美好的。

后来点了，上当了，死机了，QQ被盗了，那些第一个被螃蟹咬的人，开始告诫别人，QQ消息里，别人发的链接不要轻易点。

后来发现互联网不过是个大的垃圾桶，对互联网满怀希望和信心的一批人，也开始看到苍蝇和蚊虫，QQ成为了中国互联网萌芽时期的象征，很多人开始以告别QQ作为成熟的标志，在QQ个人资料上写下“此QQ号码已被双规”之类的句子，再不上线。

这时的病毒链接都是生猛到和手机短信一样，直接以性生活为载体，却已经几乎骗不到人了。

我现在对别人的告诫是，不要点击QQ中的任何链接。

QQ尾巴之病毒

为了打击病毒和盗号，QQ引入了软键盘，引入了键盘加密保护技术，QQ2007版甚至引入了安全医生这个独立的程序，让你可以在登录前对本地计算机进行扫描。（如果国家有关方面向腾讯取经，中国的艾滋病患者也许不会这么多。）

然而让人难以置信的却是，QQ一边大力打击各种利用QQ诈骗、传播病毒等行为，提高人们的安全意识，另一方面却自己利用QQ，自己劫持用户消息，插入自己的消息尾巴链接。

图：从手机QQ发往QQ的消息被强制插入的尾巴

QQ的消息尾巴宣传的是QQ的产品，没错；点击没有病毒，也没错。但在一个治安混乱的地区，总是有人被抢被杀的地区，人家在那儿好好走着，你一拍肩膀：“嗨！打劫！”人家会作何感想？

尽管你事后表明你只是开个玩笑，你是麦当劳在送打折券的，人家会领你这个情吗？

我一个搞IT多年的朋友接到了我从手机QQ上给他发的消息，

疑惑地问我，你中病毒了？

QQ病毒之尾巴

不得不说，目前中国的互联网环境的恶劣程度在国际互联网上是数一数二的。

我们一直处在一个笑贫不笑娼，以卖身为荣的时代。各种流氓插件你抢我夺，你有个3721，我出个CNNIC；你CNNIC狠，我百度搜霸更狠；你敢弹出个窗口，我敢弹出个页面，你弹出个病毒，我就弹出个木马。一夜暴富的太多，不知多少人红了眼？用户的电脑是什么？地盘而已。奶酪而已。讽刺的是，这些散布流氓软件的机构，都是当年研究谁动了我的奶酪之人。

我们不喜欢学习Don’t Be Evil，我们喜欢适应中国国情；流氓软件是恶意而已，杀流氓软件违反了法律；法官不痛恨流氓软件，也许不是他没中过，而是他不知道自己中而已。

中搜和CNNIC，唯一的能事是流氓，我们不齿于提他。而百度的搜霸，QQ的地址栏搜索，则是尤为让人惋惜的产品。它能换来多少流量和市场？做这些让人咒骂的产品，是嫌自己的人品太好了吗？

当然，流氓说到最后，一统江湖的，谁也想不到，竟然是中国网通和中国电信。

随意过滤封锁各种网站， 劫持用户访问到自己的广告站点，弹出广告窗口，插入广告帧，今天送你彩铃，明天助你勃起，甚至直接推送恶意软件到用户桌面。两家老大哥惺惺相惜，对江干杯。

最近谣传中国网通和中国电信要合并了，两个流氓运营商握手甚欢，你给我分享互联星空，我给你分享绿色上网，纳全国用户于囊中。用户呢？

该戒网的戒网，该出国的出国，让我们散了吧。

中搜停止划词搜索 要与流氓软件“决裂”

百度推流氓插件却说自己“不流氓”

翻脸连自己都不认了。

一个强奸犯某天“醒悟”：我要和自己决裂，决裂之后，我是我，强奸犯是强奸犯。我从此不再是强奸犯了。

可惜大家远远望去，脑子里还是强奸犯的影子，

因为昨天在菜市口，那些被划红叉的名字中，并没有他。

最新的Google toolbar4英文正式版引入了一个新的概念“默认搜索实时监护”。它通过安装Google Toolbar时附带隐藏安装一个程序GoogleToolbarNotifier.exe，来监视用户的IE浏览器默认搜索引擎是否被更改，这个程序在系统开机后自动运行。如果你做出更改默认搜索引擎的操作，会被拦截并提示。

Google的说明是（来自硬盘上C:\ProgramFiles\Google\GoogleToolbarNotifier\
1.0.711.1664\Readme.txt）：

GoogleToolbarNotifier is a companion to the Google Toolbar. This executable is necessary to enable the Search Settings Notifier feature
of the Toolbar. This feature lets you keep Google as your default search engine and prevents this setting (and others as we add new features) from being changed without your consent.

To enable or disable this feature, please click the “Settings” button on
your Toolbar and choose “Options.” In the “More” section, check or
un-check the box next to “Search with Google.” As long as this feature
remains enabled, will run silently in the background.

当安装时，受到了卡巴斯基防病毒软件的警告，如上图所示。卡巴斯基指出：程序模块 C:\Program Files\Google\GoogleToolbarNotifier\1.0.711.1664\GoogleToolbarNotifier.exe 正在安装 正在运行 但没有通知用户。这个行为类似于 Trojan Downloader/Dropper.

而在测试中我发现，这个功能默认是打开的（截图1），即使你在安装Google Toolbar时不使用默认选项“设置Google为默认搜索引擎并在改变时通知我”，GoogleToolbarNotifier也会自动安装并将自己设置为开机自动运行（截图2）。值得注意的是，并非像该说明那样，当我在选项中禁用了这个功能，重启电脑后，程序GoogleToolbarNotifier依然在后台自动运行。

和那些软件如出一辙啊。

不得不指出，

1.通过一个附加的程序自动运行，甚至不管用户是否使用浏览器也在后台运行，它违背了用户的知情权，并侵害了用户的系统资源（截图3）；

2.由卡巴斯基的提示可以看出，它已经违背了软件安装的原则，具有了轻微流氓软件的性质。虽然轻微，可仍然改变不了这个性质。

我喜欢使用Google搜索引擎，但使用Google Toolbar并不是很多，因为IE和Firefox中都已经内建了搜索框，我可以自己把Google搜索添加进去。如果Google搜索不是默认的搜索引擎，我会自己把它改回来，而不是让Google帮我去监护。

而现在，我在考虑的问题，是通过卡巴斯基禁用这个后台程序的安装呢，还是直接卸载掉Google Toolbar?