- UID
- 41540
- 主题
资深会员
- 金钱
-
- 威望
-
- 贡献
-
- 日志
- 好友
- 帖子
- 主题
- 听众
- 收听
- 性别
- 保密
|
近日有卡饭网友发帖,爆料称浏览器主页被锁且无法更改,在对可疑程序程序进行深入分析后,找到了问题根源。以下为论坛原文及详情分析:' \7 O( B/ [3 H7 B1 l& H& a9 g
5 ]. @, R: \4 m& V: F
昨天群里有人说起主页被木马锁了,怎么改都改不回来。问了下,是装了“神器青蛙PC版”被搞的。要来下载地址自己安装分析了下,元凶竟然是腾讯管家。。它的主页锁定功能可以通过安装参数任意设置利用,被流氓网站用来抢主页。我自己写了个脚本验证了下,发现这是个比较严重的问题,希望腾讯的官人能够重视下!
0 N( q; N, `) d5 a5 {6 o
9 U4 c! J& g) _- U. }0 t) n 7 p+ \7 [: c+ @! Z/ P+ K1 {
1、中招过程/ W) y" N7 H$ ~, U$ K
“神奇青蛙PC版”软件下载页面,广告图片过于露骨特别处理了下:* @/ a) U( @) D& N! R
[/ K3 L6 T- a, L: C: k! L
4 O8 U! y4 |3 Q! A8 B/ k& U9 \5 q. P$ }0 s& q# d1 i
找到正确的下载位置:! w* V4 }6 m+ m5 q( O
3 H5 R* l* l2 l
: C4 C; f0 l& t/ r* s$ |3 e$ E( {- g! ]* l2 c; L- I
将这个压缩包下载回来后,解压。我不知道有多少人和我的第一反应一样——下回来之后先setup一下:
5 E2 P/ K( d8 j% e& E F7 n* Y, p7 o/ j% \6 ]/ t
 : B/ I/ a+ K% j. ?5 s
4 {$ V9 h4 z0 l; o) E/ [/ q* v 如果谁也习惯性手贱的点了setup.exe,那么你就悲剧了:. B0 X3 C. `" a* h2 j
0 k' o' q) f9 _/ {
V( D3 e# t' s! Z- \; R" ?% ]- t/ Q( y: D) r
* }& T d, G5 {* b# A+ T6 r: [* Y: n1 H9 x& d7 _- b# c/ \+ H
那位中招小伙伴的遭遇在我的测试机器上重演:主页变为w w w.987.com/?gj的导航网站。再看电脑,同时也装上了腾讯电脑管家,“浏览器保护”功能的设置自动设定为这个导航网站。
/ J0 o; K$ }: E 9 R H' ~: V5 U! B6 A
5 f$ z. q' M( A5 i+ z6 k
2、深入分析! m" D1 e$ t/ F! w- B2 c5 l
这个神奇青蛙和腾讯管家究竟有啥关系呢?右键查看setup.exe的文件属性,结果竟然是…# a4 P. `8 U7 e2 B T. ?
. ?% f" j& R( V+ h: a- o3 J
# K# e: n# ~# `9 o( H. s9 o U! j; T, Y! d4 H+ A! v5 ?$ N* U5 t& D
原来,所谓的神奇青蛙,其实就是腾讯管家的安装包,它在安装时有个命令行颇有意思,已经设定了DefaultIE参数。
. m; m3 m* _/ W. ]& K
& ]+ u- M3 v/ K7 C3 w 0 j9 J+ y; G4 m9 w! R3 k* d4 z
) f0 U. X4 d) e3 C: t8 i* l 我专门把完整命令行复制出来给大家鉴赏:
8 N, ~1 F0 u( l% V2 z: F ^! a% ?1 q
3 U& {' j% L7 ]. h /S##supply=70540&qqpcmgr=0&recommand=3&DefaultIE="http://w w w.987.com/?gj"
; [( `( y6 O; s9 ^
$ I/ q# W. ~- D/ u9 h9 T “/S”想必就是silent(静默)的意思了,而后面的supply显然是推广ID,qqpcmgr和recommand两个参数虽然字面意思很明显,但数值的含义并不清楚,也不必太纠结。最后的DefaultIE是个URL,看字面,难道IE默认主页?
6 o( K. r7 H1 y5 ^) x& i6 d+ }0 {' M$ O
安装完成后,最终结果显而易见,主页就这么被锁定了。
: c/ Y: J Z2 J" C
5 G, L# `2 r9 U 而当我试图对主页进行修改的时候,腾讯电脑管家非常敬业的阻止了我的操作:" q) r0 ?4 K+ b0 I2 t# p; M
% [ C8 U8 ^( M, P' ^
7 S! `+ R4 D8 j! ~' V* c9 z
+ b% l: e) `# c 那么问题来了,运行安装包时通过命令行参数指定要修改并锁定主页,这个举措合乎规矩吗?: ^0 A4 A/ F3 E" i; d
' F1 R: q' ?# m% a 4 [- N6 h6 d+ F' E* Y2 ]
3、随意利用. p1 |3 L1 C* J: n) i h
完全不需要用户手动设置,仅凭安装时的一个参数,就决定了安装后要修改并锁定的网址是什么。这种做法看似简单易行,但对于一款具有很高底层权限的安全软件来说,似乎有一些草率。
- Y) `3 J! J9 ~5 g
L$ A! V5 V Z7 C @+ ]3 z9 } 那是不是给出任意的参数,安装包都会乖乖执行呢?我特意写了个脚本自己验证了一下,利用腾讯管家把主页锁定360.com。验证时还特意选择了从腾讯官网下载的最新安装包,结果大功告成。5 T! k4 {% `% F$ J
2 s2 ` t& v0 S" B& g$ a8 L N2 q" w 测试脚本如下:
; _9 l. i/ x i# [
( |) U- m6 ?4 J. P, I3 R
% ?* M( D- ?* |+ {) F7 n1 V" S' ?' L! }) U/ k: J1 R6 p- ~
脚本运行之后,腾讯电脑管家果然把360.com锁定成了系统首页,无限和谐~& w! Z) b1 |2 T2 {% H0 `8 U
; E7 r# ?1 t# @$ ^- T% {9 z 9 v' A$ A2 f3 h) @
+ k" O, d" ~, [2 \, D5 Z. l d 也就是说,修改参数后,腾讯电脑管家依旧会将私自设定的链接锁定为首页。这种简单易行的手法,不要说高端黑客,我等小菜也能轻松实现。作为一款“安全软件”,腾讯电脑管家未免太大意了。
, }8 u4 p3 c! F& M% v
* _ _2 X5 r+ |5 N 锁定主页本来是为了防流氓的,现在看来,却成了耍流氓的利器。希望腾讯官人务必重视,千万被给流氓网站当了帮凶。 |
|
