一亩二分地

今天碰到一个非常有创意的病毒，症状是不管用google搜什么关键词，都搜出来一堆广告。而且是那种看起来跟正式搜索结果一模一样的 “左侧广告”，完全区别不出来。用Yahoo搜也是一样，要把人烦死了。虽然杀毒软件似乎已经把病毒消灭了，但上面这个问题无法解决。

刚开始我猜想肯定是IE被种了什么不良插件，所以就把所有Add-on都关闭了，还升级成IE7，没用！在msconfig里把开机启动的奇怪程序全取消了，问题如故！重起进入安全模式，google依然是广告大王！Stone一边抱怨IE的安全性不如Firefox，一边把任务管理器里的进程挨个排查。可惜，整个看了一遍最后还是没发现问题！失望的Stone做出英明决定：反正是别人实验室机器，装个Firefox用就算了，不管了。遗憾的是，火狐同志也辜负了党的信任……

长话短说，在Stone鼓捣了两个多小时，就要抱头痛哭的时候，终于发现问题：机器的域名解析服务器竟然被改成了194.54.90.226，一个阿姆斯特丹的地址！所以，上任何网站都没有问题，唯独输入Yahoo或Google就会被解析到那个北欧的服务器，它 “帮忙”把所有连接请求都原样转发一下，然后在搜索结果中混进无数迷惑性的广告，这样就相当于用户在点它Google Ad。通过病毒传播，他每个月的广告费可赚大了。

此兄的高明之处在于，即使机器干净了，没有病毒没有木马，就凭那一个DNS地址都可以起作用，目标小，Google每月还给发工资，实在有创意！听说还有一个变种是在本机HOSTS文件中添加几行, 把citibank.com或HSBC.com之类的网站解析到他们的服务器上去绕一下, 骗取用户的账号信息. 这比改DNS还隐蔽(HOSTS在c:\windows\system32\drivers\etc下, 是纯文本文件).

虽然手动清除一下很容易，但目前几大杀毒软件还不能杀这种“广告木马”，而且他只要换个IP地址就抓不到了。不知道google adsense会不会查出他的帐号来。如果哪位同志想尝试一下这种”搜索的乐趣”, 可以手动把自己的DNS改成194.54.90.226. 只用一下google, 不透露任何账号和密码, 应该没什么危害.

如果说上面这个”广告病毒”的特点在于创意新颖, 下边这个病毒就比较搞笑了. 机器中毒之后, 美女疯狂的装了无数杀毒软件, Norton, McAfee, Dr. Web, 瑞星, 金山毒霸, AVG… … 各个软件都在那查的不亦乐乎, 把机器搞的奇慢无比. 其中有个叫Brave Sentry(勇敢栅栏?)的家伙不断报警, 说查到木马什么的, 还提示”请购买完整版的Brave Sentry杀毒”, “请下载某某补丁”等. 而且它开机的时候启动的比其它杀毒软件都快, 还没让他查毒, 它就在右下角不停的唧唧歪歪.

最后, 它终于引起Stone的注意, 怎么从来没听说过这个软件? 难道是一个病毒?! 大怒, 这胆子也太大了吧, 竟然是一个冒充杀毒软件的病毒, 而且以请用户购买软件和下载补丁的方式, 明目张胆的让用户给他信用卡信息和下载更多的病毒. 后来Google了一下Brave Sentry, 这还是个有名的病毒家族, 没打过补丁的机器在浏览网页的时候就可以被传染上(更多信息, 包括几个带毒网页地址, 参见这里).

总结一下, 其实只要机器按时安装Windows的各种补丁(俺知道Microsoft的补丁多得烦人, 非常烦人), 再装上一个杀毒软件, 比如免费的Grisoft AVG, 一般学校也都免费提供某个杀毒软件. 这样基本上就安全了. 另外唯一需要注意的就是尽量避免在公共计算机上登陆银行账户 Paypal账户, 现在针对这些网站的木马很多, 万一账号被盗了还挺麻烦的.