一個(gè)彈出窗口引發(fā)一場(chǎng)追蹤
    “看一下淘寶”，我讓妻子點(diǎn)開(kāi)了旺旺，最近除了隔段時(shí)間到淘寶整理一下倉(cāng)庫(kù)寶貝，平時(shí)我已經(jīng)很少打開(kāi)旺旺了。
    旺旺的界面仍然顯示“正在登錄”，屏幕卻閃動(dòng)了一下，出現(xiàn)了一個(gè)新的瀏覽器窗口，內(nèi)容……好像是一個(gè)汽車(chē)交易類(lèi)網(wǎng)站“網(wǎng)上車(chē)市”，我想也許是旺旺做的廣告吧，對(duì)于它我并不怎么在意。家里的書(shū)房，在7月的夏天溫度并不低，于是再熱愛(ài)電腦的我也不太情愿一直呆在那里，倒是妻子堅(jiān)持上網(wǎng)看一些港臺(tái)的電視劇。
    “真煩人，又是這個(gè)廣告，我說(shuō)咱家機(jī)子是不是中毒了?”妻子隨口說(shuō)到，顯然她指的是那個(gè)車(chē)市網(wǎng)站(圖1)。
    “為什么要說(shuō)又呢?”妻子的話(huà)引起了我的注意，從妻子隨后描述的現(xiàn)象，我大致可以判斷這個(gè)“網(wǎng)上車(chē)市”的廣告窗口經(jīng)常伴隨阿里旺旺出現(xiàn)，通常它同一天只出現(xiàn)1、2次，似乎很有規(guī)律。阿里旺旺會(huì)做這樣的廣告嗎?我保持懷疑;我的系統(tǒng)中病毒了嗎?作為妻子眼里的電腦高手，我總得給出一個(gè)合理的解釋吧，而我也很想知道事實(shí)的真相……
    于是，一場(chǎng)圍繞異常彈出窗口的追蹤就此展開(kāi)……
    意外發(fā)現(xiàn)一號(hào)嫌疑人
    一號(hào)嫌疑人：網(wǎng)絡(luò)運(yùn)營(yíng)商
    線(xiàn)索：支付寶客服的答復(fù)
    憑經(jīng)驗(yàn)，一般這種彈出窗口，要么是惡意病毒引起的，要么是網(wǎng)站或軟件自身彈出的廣告。該從哪里著手呢?看看時(shí)間也不早了，我決定還是先收集一些有價(jià)值的信息吧，為第二天的詳細(xì)排查做一些準(zhǔn)備工作。
    我又打開(kāi)淘寶網(wǎng)站，在旺旺相關(guān)的網(wǎng)站及客服論壇中瀏覽。從論壇中發(fā)現(xiàn)，遭遇這個(gè)彈出廣告的并非我一個(gè)人，而且很多用戶(hù)的說(shuō)法都不相同，直覺(jué)告訴我這種現(xiàn)象也許并不是像我之前想象的那么簡(jiǎn)單。
    正當(dāng)我滿(mǎn)論壇第搜集信息的時(shí)候，一個(gè)帖子讓我眼前一亮。一位網(wǎng)友發(fā)帖問(wèn)“為什么登錄支付寶會(huì)出現(xiàn)一個(gè)網(wǎng)上車(chē)市的廣告……”，一個(gè)自稱(chēng)支付寶客服的用戶(hù)回復(fù)“這不是由支付寶彈出的，是當(dāng)?shù)鼐W(wǎng)絡(luò)運(yùn)營(yíng)商的彈出廣告”。
    一號(hào)嫌疑人矢口否認(rèn)
    一號(hào)嫌疑人排查手段：電話(huà)
    沒(méi)想到自己僅僅是想收集一些信息，卻發(fā)現(xiàn)了嫌疑人的線(xiàn)索，這也太容易了吧，太讓人沒(méi)有成就感了，不過(guò)今晚的工作也算是沒(méi)有白做，可以安心睡覺(jué)了，明天早上打電話(huà)確認(rèn)一下就可以了。
    第二天我早早起床，一到上班時(shí)間就撥通了河南焦作市網(wǎng)通客服10060，以下是當(dāng)時(shí)的對(duì)話(huà)。
    我：“你好，我上阿里旺旺時(shí)總是會(huì)彈出一個(gè)網(wǎng)上車(chē)市的網(wǎng)站?！?BR>    客服：“你好，請(qǐng)檢查你的系統(tǒng)是否感染病毒，請(qǐng)升級(jí)你的殺毒軟件病毒庫(kù)進(jìn)行系統(tǒng)檢測(cè)。”
    我：“檢查了，確認(rèn)沒(méi)病毒。你們網(wǎng)通是不是插入廣告了?”
    客服：“我們決不會(huì)修改用戶(hù)上網(wǎng)資料插入廣告。”
    看來(lái)線(xiàn)索越是容易得到，越是不可靠，暫時(shí)可以排除一號(hào)嫌疑人了。
    將目光投向二號(hào)嫌疑人
    二號(hào)嫌疑人：惡意病毒
    線(xiàn)索：病毒會(huì)在中毒系統(tǒng)中彈出廣告窗口以提升網(wǎng)站流量
    淘寶說(shuō)不是自己的問(wèn)題，網(wǎng)絡(luò)運(yùn)營(yíng)商又在第一時(shí)間否認(rèn)了這個(gè)行為，那會(huì)不會(huì)是出現(xiàn)了以推廣這個(gè)網(wǎng)站為目的的惡意病毒呢?惡意病毒被我列為了二號(hào)嫌疑人。
    一般來(lái)說(shuō)，以惡意推廣網(wǎng)站為目的的病毒，會(huì)在中毒系統(tǒng)中頻繁地彈出廣告窗口，以達(dá)到提升網(wǎng)站流量的目的，而這個(gè)旺旺彈出的窗口卻有類(lèi)似的計(jì)數(shù)器特征，它保持在每天1、2次的頻率，給人的感覺(jué)是不想引起用戶(hù)的反感，看起來(lái)似乎又不像是病毒或者木馬的行為。不過(guò)我還是動(dòng)用了各種工具來(lái)查找系統(tǒng)中的惡意程序，檢查IE的加載項(xiàng)，而檢查的結(jié)果是：我的系統(tǒng)很正常。
    二號(hào)嫌疑人徹底洗清嫌疑
    二號(hào)嫌疑人排查手段：搭建干凈環(huán)境
    盡管能初步排除惡意病毒的嫌疑，但為了慎重起見(jiàn)，我還想做進(jìn)一步的排除。
    為了進(jìn)一步證實(shí)我的判斷，我建立了三個(gè)純凈的系統(tǒng)環(huán)境。
    A環(huán)境：安裝原版XP SP2專(zhuān)業(yè)版，通過(guò)官方自動(dòng)更新到當(dāng)日，防毒軟件選擇McAFee企業(yè)版，并設(shè)置了嚴(yán)格的規(guī)則。
    B環(huán)境：安裝正版授權(quán)的WindowsServer2008 RC0簡(jiǎn)體企業(yè)版，啟用高級(jí)安全防火墻規(guī)則，防毒選擇NOD32簡(jiǎn)體版，并更新至最新病毒庫(kù)。
    C環(huán)境：安裝Ubuntu7.10版，默認(rèn)使用Firefox瀏覽器。
    幾天測(cè)試下來(lái)，結(jié)果A、B、C都出現(xiàn)了異常的網(wǎng)絡(luò)廣告窗口，確認(rèn)排除二號(hào)嫌疑人。
    會(huì)不會(huì)是三號(hào)嫌疑人?
    三號(hào)嫌疑人：網(wǎng)站或軟件自身
    線(xiàn)索：打開(kāi)網(wǎng)站或軟件時(shí)才彈出窗口
    一號(hào)嫌疑人和二號(hào)嫌疑人已經(jīng)被排除，看來(lái)不得不將目光轉(zhuǎn)向三號(hào)嫌疑人了。
    幾天詳細(xì)觀(guān)察下來(lái)，通過(guò)監(jiān)視運(yùn)行時(shí)的進(jìn)程及IE和各軟件運(yùn)行時(shí)的狀態(tài)，我對(duì)這種異常彈出窗口有了新的認(rèn)識(shí)。從搜集的資料和我自己的遭遇來(lái)看，這種異常彈出窗口不止使用旺旺時(shí)才有，登錄QQ出現(xiàn)過(guò)，訪(fǎng)問(wèn)新浪 、搜狐和網(wǎng)易過(guò)程中都出現(xiàn)過(guò)，打開(kāi)迅雷彈出過(guò)，登錄Live Messenger也出現(xiàn)過(guò)。甚至上微軟的Windows更新站點(diǎn)時(shí)，同樣出現(xiàn)過(guò)……
    一個(gè)網(wǎng)站即使要宣傳自己，在這么多軟件和大網(wǎng)站上打這種廣告似乎有點(diǎn)不合常理。同時(shí)，當(dāng)前的網(wǎng)絡(luò)廣告中，大部分是與投放的網(wǎng)站有緊密聯(lián)系。網(wǎng)站方通過(guò)在網(wǎng)頁(yè)框架設(shè)計(jì)預(yù)留廣告位并設(shè)置好超鏈接，方能正常顯示所投放的廣告。換句話(huà)說(shuō)，網(wǎng)絡(luò)廣告的出現(xiàn)方式及位置是可控制的。比如現(xiàn)在新浪的背投廣告就是顯示在主窗口的后面，百度TV是顯示在窗口右下角。并且屬于網(wǎng)站自身廣告的窗口都有明確的超級(jí)鏈接，與主網(wǎng)站在同一域名體系下。而我所遭遇到的異常彈出窗口都不具備這個(gè)特征。
    最后的追蹤
    三號(hào)嫌疑人排查手段：網(wǎng)絡(luò)監(jiān)控
    從上邊的分析來(lái)看，網(wǎng)站或軟件似乎也不應(yīng)該是真正的罪犯。但目前只剩下這一個(gè)嫌疑人了，看來(lái)必須動(dòng)用更多的手段來(lái)排查了。
    使用微軟發(fā)布的網(wǎng)絡(luò)監(jiān)控程序Network Monitor 3.1，同時(shí)使用Camtasia Studio4做全屏幕錄像。以126郵箱為例，最近每天第一次訪(fǎng)問(wèn)郵箱時(shí)總是會(huì)附帶跳出一個(gè)名為“QQ空間互踩聯(lián)盟”網(wǎng)站，盡管現(xiàn)在彈出該網(wǎng)站看上去只是為了宣傳網(wǎng)站，但第一次遇到這個(gè)彈出窗口時(shí)NOD32的警告信息卻讓我記憶猶新，我必須要提高警惕(圖2)。
    一次典型的監(jiān)控是這樣的：首先我必須確保系統(tǒng)后臺(tái)無(wú)多余程序，其實(shí)，通過(guò)排查嫌疑人二號(hào)所建立的系統(tǒng)環(huán)境，就已經(jīng)滿(mǎn)足了這個(gè)條件。MS Network Monitor 3.1實(shí)現(xiàn)了網(wǎng)絡(luò)協(xié)議級(jí)別的數(shù)據(jù)流監(jiān)控(通常稱(chēng)為“嗅探”)，網(wǎng)卡收/發(fā)的任何一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包都會(huì)被它記錄，并可保存成專(zhuān)有“.cap”格式文件便于后期分析。
    啟動(dòng)Camtasia Recorder程序開(kāi)始全屏幕錄像。打開(kāi)Monitor，首先選擇網(wǎng)卡后，新建一個(gè)嗅探標(biāo)簽，點(diǎn)擊按鈕“Start Capture”或默認(rèn)按F10可啟動(dòng)嗅探(圖3)。選擇無(wú)加載項(xiàng)打開(kāi)IE的空白頁(yè)，至此嗅探器中只會(huì)顯示出極少的系統(tǒng)自己產(chǎn)生的網(wǎng)絡(luò)校驗(yàn)數(shù)據(jù)包。當(dāng)在IE地址欄鍵入“www.126.com”并回車(chē)，我們能夠觀(guān)察到嗅探器窗口中飛速地刷新數(shù)據(jù)，左下角不斷更新的抓包數(shù)量遞增得很快。登錄126后 進(jìn)行了簡(jiǎn)單操作，待出現(xiàn)“QQ空間互踩聯(lián)盟”的彈窗后，停止嗅探，先保存一下文件，計(jì)數(shù)器顯示嗅探到1511個(gè)包。所有數(shù)據(jù)包默認(rèn)以捕獲時(shí)序排列并且已經(jīng)編號(hào)。
    如何分析這上千個(gè)數(shù)據(jù)包?逐一查看比較費(fèi)時(shí)。利用Monitor提供的過(guò)濾器，我們按以下思路來(lái)分析。從域名鏈接來(lái)看，“聯(lián)盟”與126不在同一域名下，那么在IE要訪(fǎng)問(wèn)它時(shí)必定會(huì)先向DNS查詢(xún)域名記錄，于是在過(guò)濾器窗口內(nèi)鍵入“DNS”然后點(diǎn)擊Accepted按鈕，嗅探窗口隨即刷新只顯示出DNS協(xié)議有關(guān)數(shù)據(jù)包，很快就找到了屬于“聯(lián)盟”的查詢(xún)記錄，序號(hào)324。
    現(xiàn)在我們更新過(guò)濾器關(guān)鍵字為“DNS or HTTP and !HTTP.payload”，意思是只顯示DNS協(xié)議與HTTP協(xié)議相關(guān)的，并且不顯示HTTP的分解下載數(shù)據(jù)。點(diǎn)擊按鈕“Go to frame”，填入324后再點(diǎn)Find。窗口就直接顯示出了324包的位置和內(nèi)容(圖4)。
    從324往上找，很快找到了312號(hào)數(shù)據(jù)包“Http: Response, HTTP/1.1, Status Code = 200”，我稱(chēng)其為“幽靈包”。從它的內(nèi)容可以看出，這是一段標(biāo)準(zhǔn)HTML語(yǔ)言組成的完整頁(yè)面，要求瀏覽器以800×600的新窗口大小彈出指定網(wǎng)址，并且本段頁(yè)面內(nèi)容不錄入瀏覽器緩存，彈出新窗口后立刻刪除。這就是本文開(kāi)頭提到的“閃動(dòng)了一下”……
    從目前的獲得的信息來(lái)看，312中的代碼目的只有一個(gè)，讓正在訪(fǎng)問(wèn)126郵箱的用戶(hù)打開(kāi)不在網(wǎng)易服務(wù)器上的新網(wǎng)址;312號(hào)包似乎是偽裝的，沒(méi)有包含來(lái)自126服務(wù)器的正常數(shù)據(jù);沒(méi)有投放統(tǒng)計(jì)功能的廣告推廣，按理說(shuō)知名網(wǎng)站絕不會(huì)干這種打水漂的業(yè)務(wù)。種種不合理的地方顯示，三號(hào)嫌疑人的嫌疑越來(lái)越小。