- UID
- 41540
- 主题
资深会员
- 金钱
-
- 威望
-
- 贡献
-
- 日志
- 好友
- 帖子
- 主题
- 听众
- 收听
- 性别
- 保密
|
近日有卡饭网友发帖,爆料称浏览器主页被锁且无法更改,在对可疑程序程序进行深入分析后,找到了问题根源。以下为论坛原文及详情分析:! \9 a9 k% F& K# `
* v# N) x. H4 B$ |, R 昨天群里有人说起主页被木马锁了,怎么改都改不回来。问了下,是装了“神器青蛙PC版”被搞的。要来下载地址自己安装分析了下,元凶竟然是腾讯管家。。它的主页锁定功能可以通过安装参数任意设置利用,被流氓网站用来抢主页。我自己写了个脚本验证了下,发现这是个比较严重的问题,希望腾讯的官人能够重视下!
. G% @/ j3 K4 r# K0 A5 a* R( P {
4 d$ B6 ?1 f0 G% o2 M& W6 \
" l: I. [) |7 g 1、中招过程
) ^, k3 y- X1 I8 ^! } “神奇青蛙PC版”软件下载页面,广告图片过于露骨特别处理了下:
8 x- s0 E: g4 @) S2 E% b! [" ~3 O* z
 , x3 g- ~; \4 i: x
, [ X+ Z- T+ ^" } P! b( u 找到正确的下载位置:
% K- B% `# i8 @% ?% @: V' _! e3 }- P. S: \- t1 O' k+ C
 / Q) C6 X' A- e y
* C- h4 Y6 R. i3 E. B. E 将这个压缩包下载回来后,解压。我不知道有多少人和我的第一反应一样——下回来之后先setup一下:4 u# r8 O% U9 n2 \
8 h/ H) ]' F: D9 _% E& w, O `# \
. N8 m: s9 s7 C8 V$ j/ D
' r2 m, R: ~8 _8 [ 如果谁也习惯性手贱的点了setup.exe,那么你就悲剧了:
3 V$ M7 {3 D, v. W
( q7 X4 p$ C: Z4 m {3 c
; \; ?" _7 |3 W' N c
# G2 a" Q" b! z( e2 |* P
+ d+ Y( v; F9 p/ W" U& O" o# P6 ^, v/ ?, D' R) \4 H0 a
那位中招小伙伴的遭遇在我的测试机器上重演:主页变为w w w.987.com/?gj的导航网站。再看电脑,同时也装上了腾讯电脑管家,“浏览器保护”功能的设置自动设定为这个导航网站。2 l# s8 B/ Q6 x& E/ E% k
( T0 r* H* P: W" L# \0 T* {; z 2 }, a5 J8 X& B
2、深入分析
8 [* Y' ]+ V8 v1 j) \0 w 这个神奇青蛙和腾讯管家究竟有啥关系呢?右键查看setup.exe的文件属性,结果竟然是…" l9 I5 \1 W. d
0 c3 U' t! U1 m' V& |, `5 E* D' F
$ u- A$ `% D% y
9 q- |4 A E: p3 ?$ n/ ? 原来,所谓的神奇青蛙,其实就是腾讯管家的安装包,它在安装时有个命令行颇有意思,已经设定了DefaultIE参数。
6 A* g9 C& F% J( n% [8 C# h
$ n D3 t J! a+ ?. b- j l$ v . S4 e9 X7 A' r. X9 z, j
+ ~3 p% F' |& D8 F
我专门把完整命令行复制出来给大家鉴赏:
% w7 Z6 d& M# d6 B9 a
- x4 _- R4 A4 d; ^3 o$ r /S##supply=70540&qqpcmgr=0&recommand=3&DefaultIE="http://w w w.987.com/?gj", q" Q z3 X3 r8 m. S4 ]
* f9 I- F4 ]! I1 E( {& h5 |+ p
“/S”想必就是silent(静默)的意思了,而后面的supply显然是推广ID,qqpcmgr和recommand两个参数虽然字面意思很明显,但数值的含义并不清楚,也不必太纠结。最后的DefaultIE是个URL,看字面,难道IE默认主页?* Z8 W5 l& q8 C, H. `: U: I- Z
. q5 A, d. z' b% b; h+ n
安装完成后,最终结果显而易见,主页就这么被锁定了。
- W1 M! m' H0 q/ G0 P
/ Z. A+ d4 W* r L! i6 T 而当我试图对主页进行修改的时候,腾讯电脑管家非常敬业的阻止了我的操作:* T, c H+ K: Y3 j
+ p7 ?& {- n; V
 ( q% y- s; a& `. K/ k
; w( d A, F; q4 u: A2 D! H; P, ` 那么问题来了,运行安装包时通过命令行参数指定要修改并锁定主页,这个举措合乎规矩吗?2 ]7 `+ D7 a) i- m) }
* K6 D% Q+ @, h0 C
# q- l/ [; I- ], i7 z5 j/ ^ 3、随意利用
, I- c8 `- N! T+ `7 G 完全不需要用户手动设置,仅凭安装时的一个参数,就决定了安装后要修改并锁定的网址是什么。这种做法看似简单易行,但对于一款具有很高底层权限的安全软件来说,似乎有一些草率。8 D- d/ u; v- m+ O
, r4 i2 e4 @' J. {) X9 k8 T6 z 那是不是给出任意的参数,安装包都会乖乖执行呢?我特意写了个脚本自己验证了一下,利用腾讯管家把主页锁定360.com。验证时还特意选择了从腾讯官网下载的最新安装包,结果大功告成。
& J( L7 ?$ O' n' S; ^/ W. l, ^9 J' O3 @$ o% }5 w
测试脚本如下:
' W/ @1 s6 k7 s
: w5 R* s5 {% p" r" H% c
3 a( q' N3 V2 S# X( {5 ~! E
; ~2 z. W0 `: ?5 D' E( y3 u8 W+ a$ k 脚本运行之后,腾讯电脑管家果然把360.com锁定成了系统首页,无限和谐~+ R2 Z2 [* X4 T$ K7 U- l5 V
" }: u$ m+ g, I" y/ S0 d7 Q6 a$ `
+ G. @% M2 D5 I: [5 `) x- F3 f+ A2 ?0 X, [0 Y
也就是说,修改参数后,腾讯电脑管家依旧会将私自设定的链接锁定为首页。这种简单易行的手法,不要说高端黑客,我等小菜也能轻松实现。作为一款“安全软件”,腾讯电脑管家未免太大意了。' `) l: r8 D8 g/ c; o: ]) b4 G
( z' D" K$ C! g5 @ 锁定主页本来是为了防流氓的,现在看来,却成了耍流氓的利器。希望腾讯官人务必重视,千万被给流氓网站当了帮凶。 |
|
