一個彈出窗口引發(fā)一場追蹤
    “看一下淘寶”，我讓妻子點開了旺旺，最近除了隔段時間到淘寶整理一下倉庫寶貝，平時我已經(jīng)很少打開旺旺了。
    旺旺的界面仍然顯示“正在登錄”，屏幕卻閃動了一下，出現(xiàn)了一個新的瀏覽器窗口，內(nèi)容……好像是一個汽車交易類網(wǎng)站“網(wǎng)上車市”，我想也許是旺旺做的廣告吧，對于它我并不怎么在意。家里的書房，在7月的夏天溫度并不低，于是再熱愛電腦的我也不太情愿一直呆在那里，倒是妻子堅持上網(wǎng)看一些港臺的電視劇。
    “真煩人，又是這個廣告，我說咱家機子是不是中毒了?”妻子隨口說到，顯然她指的是那個車市網(wǎng)站(圖1)。
    “為什么要說又呢?”妻子的話引起了我的注意，從妻子隨后描述的現(xiàn)象，我大致可以判斷這個“網(wǎng)上車市”的廣告窗口經(jīng)常伴隨阿里旺旺出現(xiàn)，通常它同一天只出現(xiàn)1、2次，似乎很有規(guī)律。阿里旺旺會做這樣的廣告嗎?我保持懷疑;我的系統(tǒng)中病毒了嗎?作為妻子眼里的電腦高手，我總得給出一個合理的解釋吧，而我也很想知道事實的真相……
    于是，一場圍繞異常彈出窗口的追蹤就此展開……
    意外發(fā)現(xiàn)一號嫌疑人
    一號嫌疑人：網(wǎng)絡(luò)運營商
    線索：支付寶客服的答復(fù)
    憑經(jīng)驗，一般這種彈出窗口，要么是惡意病毒引起的，要么是網(wǎng)站或軟件自身彈出的廣告。該從哪里著手呢?看看時間也不早了，我決定還是先收集一些有價值的信息吧，為第二天的詳細排查做一些準備工作。
    我又打開淘寶網(wǎng)站，在旺旺相關(guān)的網(wǎng)站及客服論壇中瀏覽。從論壇中發(fā)現(xiàn)，遭遇這個彈出廣告的并非我一個人，而且很多用戶的說法都不相同，直覺告訴我這種現(xiàn)象也許并不是像我之前想象的那么簡單。
    正當我滿論壇第搜集信息的時候，一個帖子讓我眼前一亮。一位網(wǎng)友發(fā)帖問“為什么登錄支付寶會出現(xiàn)一個網(wǎng)上車市的廣告……”，一個自稱支付寶客服的用戶回復(fù)“這不是由支付寶彈出的，是當?shù)鼐W(wǎng)絡(luò)運營商的彈出廣告”。
    一號嫌疑人矢口否認
    一號嫌疑人排查手段：電話
    沒想到自己僅僅是想收集一些信息，卻發(fā)現(xiàn)了嫌疑人的線索，這也太容易了吧，太讓人沒有成就感了，不過今晚的工作也算是沒有白做，可以安心睡覺了，明天早上打電話確認一下就可以了。
    第二天我早早起床，一到上班時間就撥通了河南焦作市網(wǎng)通客服10060，以下是當時的對話。
    我：“你好，我上阿里旺旺時總是會彈出一個網(wǎng)上車市的網(wǎng)站?！?BR>    客服：“你好，請檢查你的系統(tǒng)是否感染病毒，請升級你的殺毒軟件病毒庫進行系統(tǒng)檢測?！?BR>    我：“檢查了，確認沒病毒。你們網(wǎng)通是不是插入廣告了?”
    客服：“我們決不會修改用戶上網(wǎng)資料插入廣告?！?BR>    看來線索越是容易得到，越是不可靠，暫時可以排除一號嫌疑人了。
    將目光投向二號嫌疑人
    二號嫌疑人：惡意病毒
    線索：病毒會在中毒系統(tǒng)中彈出廣告窗口以提升網(wǎng)站流量
    淘寶說不是自己的問題，網(wǎng)絡(luò)運營商又在第一時間否認了這個行為，那會不會是出現(xiàn)了以推廣這個網(wǎng)站為目的的惡意病毒呢?惡意病毒被我列為了二號嫌疑人。
    一般來說，以惡意推廣網(wǎng)站為目的的病毒，會在中毒系統(tǒng)中頻繁地彈出廣告窗口，以達到提升網(wǎng)站流量的目的，而這個旺旺彈出的窗口卻有類似的計數(shù)器特征，它保持在每天1、2次的頻率，給人的感覺是不想引起用戶的反感，看起來似乎又不像是病毒或者木馬的行為。不過我還是動用了各種工具來查找系統(tǒng)中的惡意程序，檢查IE的加載項，而檢查的結(jié)果是：我的系統(tǒng)很正常。
    二號嫌疑人徹底洗清嫌疑
    二號嫌疑人排查手段：搭建干凈環(huán)境
    盡管能初步排除惡意病毒的嫌疑，但為了慎重起見，我還想做進一步的排除。
    為了進一步證實我的判斷，我建立了三個純凈的系統(tǒng)環(huán)境。
    A環(huán)境：安裝原版XP SP2專業(yè)版，通過官方自動更新到當日，防毒軟件選擇McAFee企業(yè)版，并設(shè)置了嚴格的規(guī)則。
    B環(huán)境：安裝正版授權(quán)的WindowsServer2008 RC0簡體企業(yè)版，啟用高級安全防火墻規(guī)則，防毒選擇NOD32簡體版，并更新至最新病毒庫。
    C環(huán)境：安裝Ubuntu7.10版，默認使用Firefox瀏覽器。
    幾天測試下來，結(jié)果A、B、C都出現(xiàn)了異常的網(wǎng)絡(luò)廣告窗口，確認排除二號嫌疑人。
    會不會是三號嫌疑人?
    三號嫌疑人：網(wǎng)站或軟件自身
    線索：打開網(wǎng)站或軟件時才彈出窗口
    一號嫌疑人和二號嫌疑人已經(jīng)被排除，看來不得不將目光轉(zhuǎn)向三號嫌疑人了。
    幾天詳細觀察下來，通過監(jiān)視運行時的進程及IE和各軟件運行時的狀態(tài)，我對這種異常彈出窗口有了新的認識。從搜集的資料和我自己的遭遇來看，這種異常彈出窗口不止使用旺旺時才有，登錄QQ出現(xiàn)過，訪問新浪 、搜狐和網(wǎng)易過程中都出現(xiàn)過，打開迅雷彈出過，登錄Live Messenger也出現(xiàn)過。甚至上微軟的Windows更新站點時，同樣出現(xiàn)過……
    一個網(wǎng)站即使要宣傳自己，在這么多軟件和大網(wǎng)站上打這種廣告似乎有點不合常理。同時，當前的網(wǎng)絡(luò)廣告中，大部分是與投放的網(wǎng)站有緊密聯(lián)系。網(wǎng)站方通過在網(wǎng)頁框架設(shè)計預(yù)留廣告位并設(shè)置好超鏈接，方能正常顯示所投放的廣告。換句話說，網(wǎng)絡(luò)廣告的出現(xiàn)方式及位置是可控制的。比如現(xiàn)在新浪的背投廣告就是顯示在主窗口的后面，百度TV是顯示在窗口右下角。并且屬于網(wǎng)站自身廣告的窗口都有明確的超級鏈接，與主網(wǎng)站在同一域名體系下。而我所遭遇到的異常彈出窗口都不具備這個特征。
    最后的追蹤
    三號嫌疑人排查手段：網(wǎng)絡(luò)監(jiān)控
    從上邊的分析來看，網(wǎng)站或軟件似乎也不應(yīng)該是真正的罪犯。但目前只剩下這一個嫌疑人了，看來必須動用更多的手段來排查了。
    使用微軟發(fā)布的網(wǎng)絡(luò)監(jiān)控程序Network Monitor 3.1，同時使用Camtasia Studio4做全屏幕錄像。以126郵箱為例，最近每天第一次訪問郵箱時總是會附帶跳出一個名為“QQ空間互踩聯(lián)盟”網(wǎng)站，盡管現(xiàn)在彈出該網(wǎng)站看上去只是為了宣傳網(wǎng)站，但第一次遇到這個彈出窗口時NOD32的警告信息卻讓我記憶猶新，我必須要提高警惕(圖2)。
    一次典型的監(jiān)控是這樣的：首先我必須確保系統(tǒng)后臺無多余程序，其實，通過排查嫌疑人二號所建立的系統(tǒng)環(huán)境，就已經(jīng)滿足了這個條件。MS Network Monitor 3.1實現(xiàn)了網(wǎng)絡(luò)協(xié)議級別的數(shù)據(jù)流監(jiān)控(通常稱為“嗅探”)，網(wǎng)卡收/發(fā)的任何一個網(wǎng)絡(luò)數(shù)據(jù)包都會被它記錄，并可保存成專有“.cap”格式文件便于后期分析。
    啟動Camtasia Recorder程序開始全屏幕錄像。打開Monitor，首先選擇網(wǎng)卡后，新建一個嗅探標簽，點擊按鈕“Start Capture”或默認按F10可啟動嗅探(圖3)。選擇無加載項打開IE的空白頁，至此嗅探器中只會顯示出極少的系統(tǒng)自己產(chǎn)生的網(wǎng)絡(luò)校驗數(shù)據(jù)包。當在IE地址欄鍵入“www.126.com”并回車，我們能夠觀察到嗅探器窗口中飛速地刷新數(shù)據(jù)，左下角不斷更新的抓包數(shù)量遞增得很快。登錄126后 進行了簡單操作，待出現(xiàn)“QQ空間互踩聯(lián)盟”的彈窗后，停止嗅探，先保存一下文件，計數(shù)器顯示嗅探到1511個包。所有數(shù)據(jù)包默認以捕獲時序排列并且已經(jīng)編號。
    如何分析這上千個數(shù)據(jù)包?逐一查看比較費時。利用Monitor提供的過濾器，我們按以下思路來分析。從域名鏈接來看，“聯(lián)盟”與126不在同一域名下，那么在IE要訪問它時必定會先向DNS查詢域名記錄，于是在過濾器窗口內(nèi)鍵入“DNS”然后點擊Accepted按鈕，嗅探窗口隨即刷新只顯示出DNS協(xié)議有關(guān)數(shù)據(jù)包，很快就找到了屬于“聯(lián)盟”的查詢記錄，序號324。
    現(xiàn)在我們更新過濾器關(guān)鍵字為“DNS or HTTP and !HTTP.payload”，意思是只顯示DNS協(xié)議與HTTP協(xié)議相關(guān)的，并且不顯示HTTP的分解下載數(shù)據(jù)。點擊按鈕“Go to frame”，填入324后再點Find。窗口就直接顯示出了324包的位置和內(nèi)容(圖4)。
    從324往上找，很快找到了312號數(shù)據(jù)包“Http: Response, HTTP/1.1, Status Code = 200”，我稱其為“幽靈包”。從它的內(nèi)容可以看出，這是一段標準HTML語言組成的完整頁面，要求瀏覽器以800×600的新窗口大小彈出指定網(wǎng)址，并且本段頁面內(nèi)容不錄入瀏覽器緩存，彈出新窗口后立刻刪除。這就是本文開頭提到的“閃動了一下”……
    從目前的獲得的信息來看，312中的代碼目的只有一個，讓正在訪問126郵箱的用戶打開不在網(wǎng)易服務(wù)器上的新網(wǎng)址;312號包似乎是偽裝的，沒有包含來自126服務(wù)器的正常數(shù)據(jù);沒有投放統(tǒng)計功能的廣告推廣，按理說知名網(wǎng)站絕不會干這種打水漂的業(yè)務(wù)。種種不合理的地方顯示，三號嫌疑人的嫌疑越來越小。