什么叫流氓软件(10 月 5 日)

2006年10月9日

今天我在广电 19 楼值班,我这才意识到什么叫流氓软件。

hp7500 显示器,hp vectra vl400 机器,256MB 内存,这些都不算差。可是,这台机上流氓软件特多。从一开始用这台机器,乱弹广告窗口开始我就认识到我将与流氓软件对抗了。

首先看到的是 3721 和 baidu 搜霸。这二者之间以百度搜霸更为流氓。3721 固然也流氓,它以一个驱动程序保护所有文件不被删除,不过它有一点还非常文明:大多数文件都以 cns 开头(大小写可能有些变化),最多就是有些文件在 downloaded program files 目录、3721 目录和 yahoo 目录。重启以后,把驱动程序用网上说到的一种方法换掉 drivers 目录名、复制 drivers 中其他的驱动程序,都删掉,就解决问题了。

百度搜霸的比 3721 更流氓一些,它把所有它用到的注册表键和文件都保护了起来,而不像 3721 那样一旦注册表键被删除它再自动加上去。处理百度搜霸的时候,我也就启动到安全模式,把一些不知名的驱动程序停用,然后再删掉它的目录,似乎也就这么捣弄好了。

等回到普通模式下,又发现广告还是不断,而且还有变本加厉的趋势。仔细一看,有一个 rundll32.exe 运行着一个叫千橡公司出的 dll。网上一搜,发现是 mop 网站的那个运营商。dudu 下载加速器也是他们出的。网上似乎有删除它们的广告软件的方法,但是我这里没有发现有“添加/删除程序”的表项。我只能手工删除。而网上提供的“彻底删除方法”对我这里几乎完全无效。

同时,我又发现了 CNNIC 也在某个时刻开始流氓起来。虽然它从来不显示广告,但是却假冒 Symantec Live Update 和 Windows 的 ASP.NET State Service,弄出来一个 NT Data Provider 服务、一个 Live Update 程序和一个 ASP.NET Work State Service。然后这个 Live Update 程序以 SYSTEM 身份运行,以 Administrator 的身份还不能结束进程。我只得用 at 命令启动了一个 SYSTEM 身份的控制台,然后在此控制台中启动 process explorer。想不到的是,process explorer 在此时仍不能结束进程。终于,我找到一种方法,让 process explorer 启动 drwtsn32 来调试这个进程,终于可以结束它了。

不知是哪个流氓软件还有一个叫 SVCHOST 的服务。实在没想法了。

后来我进了安全模式将所有看上去可疑的服务停用,重启再进入安全模式删除了 CNNIC 目录。

而那个 mop 的东东还是没法删除。有一个目录 C:\Program Files\Common Files\IE-Bar,就算在安全模式下删除也会重生。实在没想法了。

现在正在“签名验证程序”和“设备管理器->隐藏设备”的联合协作下删除一些设备驱动程序,不知道下文如何了。

 

“什么叫流氓软件(10 月 5 日)” 已有 5 条评论

  1. Lincoln 在

    妙文。baidu.com被zone alarm列为spy site。请见者留意。

  2. 叶涵 在

    换用LINUX,看还有几家流氓地
    最近在拆VISTA,依然流氓成群
    PS:小范怎么又去广电19楼值班了?!还捣腾这么个破机?!

  3. zhao 在

    偶winXP从装机到现在,4年有余,IE偶有小恙,然大病未曾染过
    幸甚幸甚阿!
    浏览器防护方面,偶只用过yahoo助手,3721的没有碰过。感觉yahoo做的软件,还是比较正派的

  4. Yilei 在

    好像3721就是yahoo助手。。。

  5. 剑 在

    可以找一些软件做,自己手动实在太累了

留下您的评论