- UID
- 41540
- 主题
资深会员
- 金钱
-
- 威望
-
- 贡献
-
- 日志
- 好友
- 帖子
- 主题
- 听众
- 收听
- 性别
- 保密
|
近日有卡饭网友发帖,爆料称浏览器主页被锁且无法更改,在对可疑程序程序进行深入分析后,找到了问题根源。以下为论坛原文及详情分析:
$ N0 z: w! ?) S3 {7 l" W. a7 l" S, k# h6 M0 J# Z- S
昨天群里有人说起主页被木马锁了,怎么改都改不回来。问了下,是装了“神器青蛙PC版”被搞的。要来下载地址自己安装分析了下,元凶竟然是腾讯管家。。它的主页锁定功能可以通过安装参数任意设置利用,被流氓网站用来抢主页。我自己写了个脚本验证了下,发现这是个比较严重的问题,希望腾讯的官人能够重视下!
- p+ Z* A8 l5 ]# c `& c2 B3 G0 k7 s
, t& |7 f c1 F4 R) c1 @; c - v( N5 _$ G* @" l% L0 _+ P
1、中招过程, I" c- h9 B$ n* c
“神奇青蛙PC版”软件下载页面,广告图片过于露骨特别处理了下:) P% }( l$ E3 ` l& u" p
( \( x( `2 V0 Y8 @3 }
4 P1 }" h' m2 N3 y9 g
A$ X0 a* z6 \( F0 u( k4 B& D5 _ 找到正确的下载位置:. X! O' Q( ^2 I9 x
0 p8 ?* Y% S. ~- q: d7 C, o6 y
0 S9 g! a5 N* |4 N: y1 Y) v; |0 q1 j
( g3 l( j3 e6 j ~+ d1 t 将这个压缩包下载回来后,解压。我不知道有多少人和我的第一反应一样——下回来之后先setup一下:
9 \) U6 h( \" ]. z9 l$ S
* }- ~' G! o! b& S, [2 m+ F
. ~& |- o% V2 g. e# }: P# }7 f: ^: g: M
如果谁也习惯性手贱的点了setup.exe,那么你就悲剧了: _3 V6 y, ~! x( M$ J# S. T
8 v; a+ e+ H) W, j9 o
) a- [) o; C8 Z6 s" w# I
" V' o; G1 Z c. U, o$ [) S/ b5 l
4 \7 ^ R% v4 q0 k( D! I; m7 Y: o6 S) H5 R# j
那位中招小伙伴的遭遇在我的测试机器上重演:主页变为w w w.987.com/?gj的导航网站。再看电脑,同时也装上了腾讯电脑管家,“浏览器保护”功能的设置自动设定为这个导航网站。/ f% d1 h x2 X9 u
0 Z0 R& N* Q. V; F8 W' o( ~
. {' y" t& L# o% |% j8 F 2、深入分析3 Z; ^% b) ^2 Q- {. G( y! I, {% T
这个神奇青蛙和腾讯管家究竟有啥关系呢?右键查看setup.exe的文件属性,结果竟然是…
# N( ?* @9 Y1 ~7 e3 {6 @6 N
' |; s0 p3 }8 f
5 u! U V1 {, t' P
/ O# w0 j3 A1 U' \6 J& K2 u% ~ 原来,所谓的神奇青蛙,其实就是腾讯管家的安装包,它在安装时有个命令行颇有意思,已经设定了DefaultIE参数。
9 _' }8 v9 M- u* |3 W' J( j/ i: ^& e- O* F7 A. ? q; @, p
. L* A! Y2 K, j: ^+ M/ E1 g
. P/ X: k" z4 X; G' ]% I 我专门把完整命令行复制出来给大家鉴赏:" ]9 J6 w0 O$ [0 e5 ~7 g
4 _: a3 L6 h3 x4 o0 O( M9 F /S##supply=70540&qqpcmgr=0&recommand=3&DefaultIE="http://w w w.987.com/?gj", A, o) _! v ~' s: J
O& r b9 @% `; A: F2 h “/S”想必就是silent(静默)的意思了,而后面的supply显然是推广ID,qqpcmgr和recommand两个参数虽然字面意思很明显,但数值的含义并不清楚,也不必太纠结。最后的DefaultIE是个URL,看字面,难道IE默认主页?% \, L2 @3 h7 X- F" q% }7 |- x
: q7 v8 j0 P$ Z' s" \* ] 安装完成后,最终结果显而易见,主页就这么被锁定了。
1 k0 s4 p: @( f! S
0 y6 G3 f2 b6 k% s; m6 r 而当我试图对主页进行修改的时候,腾讯电脑管家非常敬业的阻止了我的操作:
7 ^, h; K4 R1 n, {- \ E# a# l' u/ u: W5 t* D1 U$ k
 % I- i4 N H# A7 @* p9 I C+ {
9 U3 Q- Z2 f7 h( Z G0 j- @ 那么问题来了,运行安装包时通过命令行参数指定要修改并锁定主页,这个举措合乎规矩吗?. z1 c( J. ]# P; d- l6 K" E
& V# a* h3 H" y
# B, W5 {- M! T) R# [8 q0 Z 3、随意利用" c! P' d" S# e$ U' Y
完全不需要用户手动设置,仅凭安装时的一个参数,就决定了安装后要修改并锁定的网址是什么。这种做法看似简单易行,但对于一款具有很高底层权限的安全软件来说,似乎有一些草率。
8 [- Y# O3 \$ _* u
_. P: r) f! Q. W 那是不是给出任意的参数,安装包都会乖乖执行呢?我特意写了个脚本自己验证了一下,利用腾讯管家把主页锁定360.com。验证时还特意选择了从腾讯官网下载的最新安装包,结果大功告成。& a0 `0 v2 @ r+ x
* h! |$ Y( x3 b! i( D$ Y& b7 k
测试脚本如下:$ s! Z( P H% X% W
5 m P. O7 k6 y$ c8 b" z, u2 a- X
( h: l: `, X& o: b- g/ T3 t) w( u0 y) ]
脚本运行之后,腾讯电脑管家果然把360.com锁定成了系统首页,无限和谐~
# b. n8 F) {9 U% f
( V* f/ d/ V2 Y8 B w1 }) ?
, T& x7 w0 |/ d
3 O! h; M. s, M/ j 也就是说,修改参数后,腾讯电脑管家依旧会将私自设定的链接锁定为首页。这种简单易行的手法,不要说高端黑客,我等小菜也能轻松实现。作为一款“安全软件”,腾讯电脑管家未免太大意了。- x& b$ Z) ?! k2 |' ]
) k7 k$ ?! I2 q1 z 锁定主页本来是为了防流氓的,现在看来,却成了耍流氓的利器。希望腾讯官人务必重视,千万被给流氓网站当了帮凶。 |
|
