今天我们来拆解一下“风流公子”这个绿色下载的套路
大家知道的,平时就爱琢磨点别人不爱碰的东西。不是说我喜欢那些乱七八糟的内容,而是看到一个东西非要打着“官方”“绿色”的旗号,我就来气。越是承诺得好听,背后藏的坑就越大。前两天群里有人问,说找到个什么“风流公子_官方网站_绿色下载”,问是不是真的能下东西还不带病毒。我一听就乐了,这不是摆明了的陷阱吗?但我这老毛病犯了,不亲手拆开看看,晚上睡不着觉。
我的实践记录,从头开始。
我的第一步,就是把家里的那台老旧的测试机——就是那台专门用来干脏活累活的虚拟机——给启动了。我知道,一旦涉及到这种关键词,搜索引擎里绝对是一片狼藉,十个结果九个是钓鱼的,还有一个是骗流量的。我可不想用我的主力电脑去趟这浑水。我先是尝试用最简单的方式搜索,果然,前三页全是乱七八糟的推广和伪装成评测的软文,链接点进去不是让你下载一个浏览器壳子,就是强制跳转到一些赌博网站。真是恶心透了。
我换了个思路。我找了一些比较老旧的论坛和暗网边缘的BBS。因为这些地方流量小,反而有一些人会分享真正的心得,或者说,会分享这个网站到底是个什么货色。我潜水了大概两个小时,终于摸到了一点门道。原来,“官方网站”早就换了不下五个域名了,而且每次换,内容都大同小异,就换了个皮。
- 摸底阶段:我找到了几个被声称是“唯一官方”的站点。
- 环境准备:全程在隔离的网络环境和虚拟机里操作。
- 初步判断:这些网站的服务器IP地址跳来跳去,根本不在国内,而且用的都是最廉价的虚拟主机。技术上讲,一点“官方”的样子都没有。
下载与拆解:绿色到底绿在哪儿了?
我选了一个看起来最像回事的网站,准备开始下载。这个网站做得倒是挺唬人的,弄了个很大的下载按钮,旁边还用红色大字写着“通过安全认证,放心下载”。我呵呵一笑,点下去了。
结果,页面先是弹出了一个需要输入手机号的窗口。我当然不会填我的真号码,随手生成了一个虚拟号糊弄过去。等过了这一关,它并没有直接给我文件,而是让我下载了一个名为“风流公子_安全助手.exe”的东西。注意了,真正的软件在哪儿?它让你先下个“助手”。
我把这个“助手”拖进了我的沙盒环境里。文件大小只有不到2MB,非常轻巧,一看就知道里面没装什么好东西。我用反汇编工具稍微看了一下这个文件的结构,差点气乐了。这个所谓的“安全助手”,压根就是个下载器,而且它链接的服务器,根本不是提供“风流公子”内容的,而是提供广告包的。
我让沙盒环境运行了它。它确实开始下载了一个大文件,但它在后台偷偷干了三件事:
第一,修改注册表。它尝试把自己的启动项设置成系统最高权限,确保每次开机都会自启动。
第二,植入广告模块。它偷偷安装了两个小的动态链接库文件(DLLs),专门用来在浏览器中强行插入各种弹窗广告。哪怕我用的是无痕模式,也逃不掉。
第三,资源占用。最恶毒的是,它偷偷启动了一个后台进程,这个进程的CPU占用率和内存占用都很低,但是会偷偷利用闲置的算力去挖矿。这不是摆明了拿用户的电费和性能给自己赚钱吗?
至于它下载的那个大文件,解压后确实是些视频资源,但这资源质量差得要命,而且里面也被塞进了一个伪装成播放器插件的木马程序。所谓的“绿色下载”,简直就是笑话,它绿的只是那帮骗子口袋里的钱。
我把这些记录都截图保存了下来。我为什么要费这个劲?因为前段时间我那刚上高中的侄子,偷偷摸摸在家里电脑上干了这事,结果把家里的网络弄得一团糟,电脑卡得连最基本的PPT都打不开。他被他爸妈骂得狗血淋头,还以为是自己下载了什么不干净的东西才导致的。我查清楚后才知道,这跟内容本身没多大关系,完全就是被这套“官方绿色下载”的幌子给骗了。我得把这个过程写出来,让大家看看,天上不会掉馅饼,越是声称官方和安全的,你越要多长个心眼。