網絡追蹤：誰在幕后頻頻的惡意彈窗

一個彈出窗口引發(fā)一場追蹤
    “看一下淘寶”，我讓妻子點開了旺旺，最近除了隔段時間到淘寶整理一下倉庫寶貝，平時我已經很少打開旺旺了。
    旺旺的界面仍然顯示“正在登錄”，屏幕卻閃動了一下，出現了一個新的瀏覽器窗口，內容……好像是一個汽車交易類網站“網上車市”，我想也許是旺旺做的廣告吧，對于它我并不怎么在意。家里的書房，在7月的夏天溫度并不低，于是再熱愛電腦的我也不太情愿一直呆在那里，倒是妻子堅持上網看一些港臺的電視劇。
    “真煩人，又是這個廣告，我說咱家機子是不是中毒了?”妻子隨口說到，顯然她指的是那個車市網站(圖1)。
    “為什么要說又呢?”妻子的話引起了我的注意，從妻子隨后描述的現象，我大致可以判斷這個“網上車市”的廣告窗口經常伴隨阿里旺旺出現，通常它同一天只出現1、2次，似乎很有規(guī)律。阿里旺旺會做這樣的廣告嗎?我保持懷疑;我的系統中病毒了嗎?作為妻子眼里的電腦高手，我總得給出一個合理的解釋吧，而我也很想知道事實的真相……
    于是，一場圍繞異常彈出窗口的追蹤就此展開……
    意外發(fā)現一號嫌疑人
    一號嫌疑人：網絡運營商
    線索：支付寶客服的答復
    憑經驗，一般這種彈出窗口，要么是惡意病毒引起的，要么是網站或軟件自身彈出的廣告。該從哪里著手呢?看看時間也不早了，我決定還是先收集一些有價值的信息吧，為第二天的詳細排查做一些準備工作。
    我又打開淘寶網站，在旺旺相關的網站及客服論壇中瀏覽。從論壇中發(fā)現，遭遇這個彈出廣告的并非我一個人，而且很多用戶的說法都不相同，直覺告訴我這種現象也許并不是像我之前想象的那么簡單。
    正當我滿論壇第搜集信息的時候，一個帖子讓我眼前一亮。一位網友發(fā)帖問“為什么登錄支付寶會出現一個網上車市的廣告……”，一個自稱支付寶客服的用戶回復“這不是由支付寶彈出的，是當地網絡運營商的彈出廣告”。
    一號嫌疑人矢口否認
    一號嫌疑人排查手段：電話
    沒想到自己僅僅是想收集一些信息，卻發(fā)現了嫌疑人的線索，這也太容易了吧，太讓人沒有成就感了，不過今晚的工作也算是沒有白做，可以安心睡覺了，明天早上打電話確認一下就可以了。
    第二天我早早起床，一到上班時間就撥通了河南焦作市網通客服10060，以下是當時的對話。
    我：“你好，我上阿里旺旺時總是會彈出一個網上車市的網站。”
    客服：“你好，請檢查你的系統是否感染病毒，請升級你的殺毒軟件病毒庫進行系統檢測。”
    我：“檢查了，確認沒病毒。你們網通是不是插入廣告了?”
    客服：“我們決不會修改用戶上網資料插入廣告。”
    看來線索越是容易得到，越是不可靠，暫時可以排除一號嫌疑人了。
    將目光投向二號嫌疑人
    二號嫌疑人：惡意病毒
    線索：病毒會在中毒系統中彈出廣告窗口以提升網站流量
    淘寶說不是自己的問題，網絡運營商又在第一時間否認了這個行為，那會不會是出現了以推廣這個網站為目的的惡意病毒呢?惡意病毒被我列為了二號嫌疑人。
    一般來說，以惡意推廣網站為目的的病毒，會在中毒系統中頻繁地彈出廣告窗口，以達到提升網站流量的目的，而這個旺旺彈出的窗口卻有類似的計數器特征，它保持在每天1、2次的頻率，給人的感覺是不想引起用戶的反感，看起來似乎又不像是病毒或者木馬的行為。不過我還是動用了各種工具來查找系統中的惡意程序，檢查IE的加載項，而檢查的結果是：我的系統很正常。
    二號嫌疑人徹底洗清嫌疑
    二號嫌疑人排查手段：搭建干凈環(huán)境
    盡管能初步排除惡意病毒的嫌疑，但為了慎重起見，我還想做進一步的排除。
    為了進一步證實我的判斷，我建立了三個純凈的系統環(huán)境。
    A環(huán)境：安裝原版XP SP2專業(yè)版，通過官方自動更新到當日，防毒軟件選擇McAFee企業(yè)版，并設置了嚴格的規(guī)則。
    B環(huán)境：安裝正版授權的WindowsServer2008 RC0簡體企業(yè)版，啟用高級安全防火墻規(guī)則，防毒選擇NOD32簡體版，并更新至最新病毒庫。
    C環(huán)境：安裝Ubuntu7.10版，默認使用Firefox瀏覽器。
    幾天測試下來，結果A、B、C都出現了異常的網絡廣告窗口，確認排除二號嫌疑人。
    會不會是三號嫌疑人?
    三號嫌疑人：網站或軟件自身
    線索：打開網站或軟件時才彈出窗口
    一號嫌疑人和二號嫌疑人已經被排除，看來不得不將目光轉向三號嫌疑人了。
    幾天詳細觀察下來，通過監(jiān)視運行時的進程及IE和各軟件運行時的狀態(tài)，我對這種異常彈出窗口有了新的認識。從搜集的資料和我自己的遭遇來看，這種異常彈出窗口不止使用旺旺時才有，登錄QQ出現過，訪問新浪 、搜狐和網易過程中都出現過，打開迅雷彈出過，登錄Live Messenger也出現過。甚至上微軟的Windows更新站點時，同樣出現過……
    一個網站即使要宣傳自己，在這么多軟件和大網站上打這種廣告似乎有點不合常理。同時，當前的網絡廣告中，大部分是與投放的網站有緊密聯系。網站方通過在網頁框架設計預留廣告位并設置好超鏈接，方能正常顯示所投放的廣告。換句話說，網絡廣告的出現方式及位置是可控制的。比如現在新浪的背投廣告就是顯示在主窗口的后面，百度TV是顯示在窗口右下角。并且屬于網站自身廣告的窗口都有明確的超級鏈接，與主網站在同一域名體系下。而我所遭遇到的異常彈出窗口都不具備這個特征。
    最后的追蹤
    三號嫌疑人排查手段：網絡監(jiān)控
    從上邊的分析來看，網站或軟件似乎也不應該是真正的罪犯。但目前只剩下這一個嫌疑人了，看來必須動用更多的手段來排查了。
    使用微軟發(fā)布的網絡監(jiān)控程序Network Monitor 3.1，同時使用Camtasia Studio4做全屏幕錄像。以126郵箱為例，最近每天第一次訪問郵箱時總是會附帶跳出一個名為“QQ空間互踩聯盟”網站，盡管現在彈出該網站看上去只是為了宣傳網站，但第一次遇到這個彈出窗口時NOD32的警告信息卻讓我記憶猶新，我必須要提高警惕(圖2)。
    一次典型的監(jiān)控是這樣的：首先我必須確保系統后臺無多余程序，其實，通過排查嫌疑人二號所建立的系統環(huán)境，就已經滿足了這個條件。MS Network Monitor 3.1實現了網絡協議級別的數據流監(jiān)控(通常稱為“嗅探”)，網卡收/發(fā)的任何一個網絡數據包都會被它記錄，并可保存成專有“.cap”格式文件便于后期分析。
    啟動Camtasia Recorder程序開始全屏幕錄像。打開Monitor，首先選擇網卡后，新建一個嗅探標簽，點擊按鈕“Start Capture”或默認按F10可啟動嗅探(圖3)。選擇無加載項打開IE的空白頁，至此嗅探器中只會顯示出極少的系統自己產生的網絡校驗數據包。當在IE地址欄鍵入“www.126.com”并回車，我們能夠觀察到嗅探器窗口中飛速地刷新數據，左下角不斷更新的抓包數量遞增得很快。登錄126后 進行了簡單操作，待出現“QQ空間互踩聯盟”的彈窗后，停止嗅探，先保存一下文件，計數器顯示嗅探到1511個包。所有數據包默認以捕獲時序排列并且已經編號。
    如何分析這上千個數據包?逐一查看比較費時。利用Monitor提供的過濾器，我們按以下思路來分析。從域名鏈接來看，“聯盟”與126不在同一域名下，那么在IE要訪問它時必定會先向DNS查詢域名記錄，于是在過濾器窗口內鍵入“DNS”然后點擊Accepted按鈕，嗅探窗口隨即刷新只顯示出DNS協議有關數據包，很快就找到了屬于“聯盟”的查詢記錄，序號324。
    現在我們更新過濾器關鍵字為“DNS or HTTP and !HTTP.payload”，意思是只顯示DNS協議與HTTP協議相關的，并且不顯示HTTP的分解下載數據。點擊按鈕“Go to frame”，填入324后再點Find。窗口就直接顯示出了324包的位置和內容(圖4)。
    從324往上找，很快找到了312號數據包“Http: Response, HTTP/1.1, Status Code = 200”，我稱其為“幽靈包”。從它的內容可以看出，這是一段標準HTML語言組成的完整頁面，要求瀏覽器以800×600的新窗口大小彈出指定網址，并且本段頁面內容不錄入瀏覽器緩存，彈出新窗口后立刻刪除。這就是本文開頭提到的“閃動了一下”……
    從目前的獲得的信息來看，312中的代碼目的只有一個，讓正在訪問126郵箱的用戶打開不在網易服務器上的新網址;312號包似乎是偽裝的，沒有包含來自126服務器的正常數據;沒有投放統計功能的廣告推廣，按理說知名網站絕不會干這種打水漂的業(yè)務。種種不合理的地方顯示，三號嫌疑人的嫌疑越來越小。