你的位置:首页 > 操作系统

[操作系统]恶劣的暴风影音弹色情网站的行径分析


近期我的电脑总是不定时的弹出同城色情交友网站,一弹就是2个页面,页面弹出后,发起调用浏览器弹出色情网站的主程序自动退出,导致无法查明到底是哪个应用程序发起的弹出页面窗口,我干IT工作14年,一时间认为我的电脑中毒了 ,通过PChunter,Powertools等工具却没有发现任何中毒迹象,也没有异常程序。下面是弹出的色情交友网站的图(虚拟机中360浏览器展示网址,我已经不敢在物理机上重演)。

 

我物理机本机经常会跑网银与网游,事关信息安全,但无奈无法抓住弹窗的罪魁祸首。然而,前几日灵机一动,写了个应用程序,用来替换默认浏览器的exe的位置,大灰狼调用弹框就会触发我编写的程序的启动,然后我再通过我的程序获取到父进程的各种信息,这样大灰狼就抓住了,哪怕是他调用了我的程序马上就退出,他也跑不掉,说到这里。马上开写,下面是VB源代码:

Private Sub Form_Load()Dim CP As StringMe.Caption = "父进程检测"sComputerName = "."CP = App.EXEName & ".exe"i = 0For Each Wmi In GetObject("winmgmts:\\.\root\cimv2:win32_process").instances_  If Wmi.Name = CP Then    ppid = Wmi.ParentProcessID    Text1.Text = ppid    Text3.Text = Wmi.CommandLine    Set WMI_Obj = GetObject("winmgmts:\\" & sComputerName & "\root\cimv2")    Set WMI_ObjProps = WMI_Obj.ExecQuery("Select * from Win32_Process where ProcessID='" & ppid & "'", , 48)    For Each ObjClsItem In WMI_ObjProps      Text2.Text = ObjClsItem.CommandLine      Text4.Text = ObjClsItem.ExecutablePath    Next  End IfNextEnd Sub

  然后把他编译成为chrome.exe(因为我默认浏览器是chrome),然后把他放到谷歌浏览器的目录下,等待大灰狼程序调用。

果然不其然,2天后,大灰狼又调用默认浏览器打开色情网站,被我抓了个正着,话不多说,看截图:

 

上图是我把当前进行命令行所指向的网址在edge浏览器中打开的结果,下面,我贴上这几个文本框依次对应的内容

当前进程命令行:"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" -- "http://west.ytxbcd.com/iclk/?s=NDI5NjUyfHx8eHh8fHx8fHx8fDE0NzE1Mjg1MjV8MTEwLjE4NS4zOC4xOHw2MDd8Y3BtfDl8MTMzN3w2NTh8MTM4NjR8OTMx;c0c16c9c4fc360360ea81da0b7df07c5;http%3A%2F%2Fyb12z.net%3A99%2Fjump%2F%3Fp%3D1001%26a%3D1%26t%3Dvip4%26s%3D%7Buid%7D&a=22.0.0.209;1920x1080x32;http%3A//www.ts-auto.cn/;http%3A//ad.173st.cn/client/1.html"

父进程PID:19432

父进程命令行:"C:\Program Files (x86)\Baofeng\StormPlayer\BFLp.exe"  /type=dpl /time 5.00 /jump 2 /js 0 /jt 0 /sk  /play /url http://ad.173st.cn/ad1/cpm.html /refer  

父进程目录:C:\Program Files (x86)\Baofeng\StormPlayer\BFLp.exe

此时我再看,这个大灰狼程序BFLp.exe程序已经退出内存,自动结束了,因此常规方法根本无法找到这个父进程到底是谁?大家看看,这个发起主进程就是大名鼎鼎的的暴风影音啊!沃德天!竟然干这样的勾当!

我们来验证一下,在命令提示符中执行父进程命令行,然后会跳出下面的窗口:

通过火绒窗口定位这个弹出显示如下:

这个窗口的意思是上面的msgbox窗口是由bflp.exe弹出来的。我通过行为监控发现的确是这个进程调用了默认浏览器打开了色情网站

再查看这个bflp.exe,的确打着暴风影音的数字证书,你别告诉我这不是你们写的程序!!!

不要告诉我这个是DNS污染,不要告诉我这个是运营商劫持。父进程命令行在任何一台机器上执行,都会弹出这样的色情网站,我想问问你暴风影音,你们就是Qvod 二代吗?如此恶心,流氓的行为,你们的确干出来了。话不多说,卸载,永别,并且我会告诉身边的人,真爱生命,远离暴风软件!