Moby電腦學(xué)習(xí)園地- [04-27] 全面剖析3721及上網(wǎng)助手 - powered by Discuz!

softwind 2006-04-27

展開全文

[04-27] 全面剖析3721及上網(wǎng)助手

3721真的能夠卸載干凈嗎？
3721真的僅僅是一個中文上網(wǎng)這么簡單嗎？
3721對網(wǎng)絡(luò)甚至對國家安全的危害僅僅是您目前所認識到的嗎？
3721自稱的“詳細技術(shù)情況”真的給您知情權(quán)了嗎？
3721上網(wǎng)助手真的是您的什么“助手”嗎？
全面揭露觸目驚心！
3721作為一種可自動安裝的、普及率極廣的一種網(wǎng)絡(luò)程序，近年來對之的爭議頗多。本文試圖從安裝、卸載工、服務(wù)、系統(tǒng)影響等各個方面列舉系列客觀事實，有關(guān)觀點僅代表筆者個人意見，拿出來與大方之家商榷，相信大家見仁見智各有自己的結(jié)論，同時也希望以此引起有關(guān)部門的注意。
測試環(huán)境：VMWare虛擬機，共享主機連接，以獨立的公網(wǎng)IP 地址上網(wǎng)；操作系統(tǒng)為Windows XP Pro SP2，默認安裝，僅以直接復(fù)制的方式拷貝了測試所必須的文件管理程序Total Commander、注冊表跟蹤工具Advanced Registry Tracer、抓圖工具UltraSnap、打字必須的極點五筆輸入法，未安裝其他任何軟件。另外，部分圖片為節(jié)省篇幅采用了以重疊的方式顯示多幅圖片內(nèi)容。
一、3721安裝剖析
1、安裝推廣由“反復(fù)提示”式為主為轉(zhuǎn)向捆綁為主
自從Windows XP SP2推出加強的安全特性后，以前頻繁出現(xiàn)的3721安裝提示被進行了有效抑制（圖1），因此其推廣安裝方式除傳統(tǒng)的通過瀏覽器植入安裝、直接下載安裝外，又開拓了在某些共享軟件和免費軟件中捆綁的方式進行安裝（圖2）。新的捆綁安裝方式，雖然有安裝選項，但對于習(xí)慣了“一路回車法”安裝軟件的用戶，被順手裝入系統(tǒng)的可能性極大！

圖 1 Windows XP SP2的安全機制給3721的安裝帶來不便

圖 2 通過免費或共享軟件的捆綁并默認安裝
2、“一拖三”的安裝方式，偷偷植入另外模塊
如果被安裝上上網(wǎng)助手，則實際上同時被植入系統(tǒng)的并非上網(wǎng)助手一個程序，而是同時另外被靜默地植入了“地址欄搜索”和“搜索助手”這兩套獨立的程序（圖3）。
卸載上網(wǎng)助手時，額外植入的兩套程序不會被卸載；卸載每一套程序時，卸載對話框中都添加保留另外模塊的選項，以實現(xiàn)非刻意卸載情況下的自我交叉修復(fù)。

圖 3
3、完善的自我保護機制
從安裝、保護、卸載、修復(fù)幾個環(huán)節(jié)來看，各個環(huán)節(jié)環(huán)環(huán)相扣（圖4），任何一環(huán)沒有正確處理，則就無法實現(xiàn)表面的干凈卸載（真正徹底卸載除非手工清理，否則無法實現(xiàn)完全卸載，，后文詳述）。

圖 4 各個環(huán)節(jié)的保護機制環(huán)環(huán)相扣，清除不易二、3721及上網(wǎng)助手提供的“貼心”服務(wù)提供剖析
號稱提供各種貼心服務(wù)，其服務(wù)項目所標(biāo)示的功能也非常的人。我們對其中幾項進行了簡單測試，看看3721到底提供的是一些什么性質(zhì)、什么質(zhì)量的“服務(wù)”。
1、黃毒橫行觸目驚心
安裝3721中上網(wǎng)助手后，瀏覽器瀏覽器地址欄被無告知地植入20多項URL列表，其內(nèi)容不外乎：性、娛樂、賺錢等幾方面有關(guān)（圖5）。
從其強行植入的地址欄URL列表來看，安裝了3721或上網(wǎng)助手的電腦就不折不扣地成了一臺“少兒不宜”的電腦電腦！
看看其強行植入的“美女如云——15億圖片心情體驗”鏈接，等等占據(jù)了內(nèi)容目錄的絕大部分，您能夠從中找到哪怕一丁點健康、積極、向上的內(nèi)容嗎？這就是3721和上網(wǎng)助手提供的服務(wù)中的內(nèi)容品味的冰山一角。

圖 5 自動植入的瀏覽器瀏覽器地址欄URL列表
2、“網(wǎng)絡(luò)釣魚”爐火純青
除了上述明目張膽的色情（公開傳播的內(nèi)容中那些不是色情還有是色情？）宣傳推廣，其還采用了一種誘惑點擊的網(wǎng)絡(luò)釣魚方法：以“免費電影”為幌子，播放器上覆蓋廣告，用戶點擊播放器時將觸發(fā)對廣告的點擊（圖9）。
此種誘惑點擊的手段僅僅是一種方式。有了這種“先進的”方式，還有什么事情不能做呢？

圖 9
自動植入瀏覽器地址欄歷史鏈接中打開的免費電影（網(wǎng)絡(luò)釣魚：以一Flash廣告與播放按鈕重疊的方式，誘惑用戶點擊。這里設(shè)置不顯示Flash以暴露其重疊的框架結(jié)構(gòu)）
3、貼心功能不貼心
不少人看中了上網(wǎng)助手的彈出廣告過濾功能。讓我們看看真實情況！
用
[url=http://secu./admin/http://www./popupkillertest" target=_blank>
http://www./popupkillertest>

http://www./popupkillertest

[/url]
>的專業(yè)測試頁面進行彈出窗口過濾測試。為避免干擾干擾，先關(guān)閉Windows XP SP2本身的彈出窗口過濾功能（沒有人會說上網(wǎng)助手的彈出窗口過濾是依賴Windows XP 的SP2相關(guān)功能實現(xiàn)的吧？?。?
測試結(jié)果，27項測試中，未能通過的有：第3 項、第6項（1、2）、第8項、第9項、第10項、第11項、第12項、第16項、第17項、第20項、第21項、第22項、第24項、第26項、第27項（1、2、3），共計未通過測試的有15項（18種），過濾失敗的項目占整體的55%，失敗的種類占整體的66%（圖10）。即按百分制評判，上網(wǎng)助手的彈出窗口過濾能力連及格分都沒有撈到！
而啟用Windows XP SP2的彈出窗口過濾功能，或者使用Maxthon等具有彈出窗口過濾功能的第三方瀏覽器，同樣的項目測試結(jié)果就截然不同！具體情況筆者暫不提供，大家可以自己測試對比一下，以便好好體會這位上網(wǎng)“助手”的能力！

圖 10 彈出窗口過濾測試中慘不忍睹的過濾結(jié)果
4、“清理痕跡”清理了誰的痕跡？
圖11是上網(wǎng)助手的“清理痕跡”功能測試。執(zhí)行清理并得到“當(dāng)前沒有網(wǎng)址記錄！”的結(jié)果，但打開瀏覽器的歷史側(cè)邊欄，結(jié)果如何？
圖 10 彈出窗口過濾測試中慘不忍睹的過濾結(jié)果

圖 11 “痕跡清理”清理了誰的痕跡？5、插件管理專家別有私心
打開上網(wǎng)助手的插件管理專家，其中僅僅“虛心”地把搜索助手列了出來；但打開瀏覽器的加載項對話框，3721和上網(wǎng)助手植入的十幾個加載項卻赫然在目（圖12）！別家的插件算插件，自己偷偷植入的眾多玩藝一律不算插件，這是什么邏輯？！

圖 12 “插件管理專家”對自己植入的垃圾插件視而不見
6、把自己的“搜一搜”右鍵菜單視為系統(tǒng)默認菜單
再看看“恢復(fù)IE外觀”中的“清理IE右鍵菜單”功能。清理后，報告“沒有可清理的菜單！”
但實際上，在瀏覽器中右擊鼠標(biāo)，“！搜一搜”的3721附加的菜單項已經(jīng)如同系統(tǒng)默認菜單項那樣被保存下來（圖13）。令人不解的是，“！搜一搜”這種表達方式不知在中國語言學(xué)中算是一種什么手法？

圖 13 3721自動添加的右鍵菜單不算清理對象
7、自欺欺人的“清理IE工具條”
試試“清理IE工具條”的效果如何。清理后，報告“沒有可清理的工具條！”，但IE工具欄上被3721自動植入的那個帶有掃把圖標(biāo)的工具條和其他幾個按鈕好好的毫發(fā)無損（圖14）。難道它自己的這些就不屬于系統(tǒng)之外的第三方工具條嗎？工具欄按鈕清理也是如此。

圖 14 清理IE工具條結(jié)果
8、IE 工具欄“重置”功能不能重置3721植入的工具欄按鈕
既然上網(wǎng)助手拒絕給我干活，那么就用IE本身的功能設(shè)置來恢復(fù)工具欄按鈕吧。
打開自定義工具欄對話框，點擊“重置”，那些被強行植入的按鈕閃動了一下，片刻又立即得到恢復(fù)（圖15）。
系統(tǒng)的基本功能在3721的作用下已經(jīng)部分失效！

圖 15 “重置”工具欄按鈕后的效果
9、對系統(tǒng)穩(wěn)定性的影響
在虛擬機環(huán)境下，直接在瀏覽器地址欄輸入“合工大”進行搜索，前后測試6次，每次都是立即藍屏（圖16）。
雖然虛擬機環(huán)境與真實環(huán)境可能有一些差異，但虛擬機對內(nèi)存要求較高，系統(tǒng)資源占用較大，據(jù)此我們不能確定在真實系統(tǒng)環(huán)境也是如此，但起碼可以確定，搜索助手對系統(tǒng)資源的分配肯定存在某種負面影響（或者是存在某種BUG），在對資源需求較大時，會對系統(tǒng)產(chǎn)生不利影響。

圖 16 半個工作日的搜索測試中系統(tǒng)藍屏6次三、3721對系統(tǒng)的寫入情況剖析
根據(jù)網(wǎng)絡(luò)實名網(wǎng)站自稱的“詳細技術(shù)原理”，我們看看真實情況是否如網(wǎng)站上所告知的那樣。圖17是其對用戶告知的內(nèi)容。在隨后的檢測項目中，我們看看它“詳細”到什么程度，用戶和知情權(quán)體現(xiàn)在什么地方。

圖 17 網(wǎng)絡(luò)實名的“詳細技術(shù)原理”
1、向系統(tǒng)植入的文件
除了有專門的程序文件夾，3721還在WindowsDownloaded Program Files目錄以隱藏的方式保存其文件以便快速修復(fù)；在系統(tǒng)驅(qū)動程序目錄植入驅(qū)動程序文件并保證安全模式（即使你不上網(wǎng)！）也能夠被加載并且不能被直接刪除（圖18、圖19）。
①安裝3721后的文件植入情況：
● WindowsDownloaded Program Files目錄被植入37個文件1個文件夾；
● WindowsSystem32Drivers目錄植入CnMinPK.sys驅(qū)動程序文件。
● Program Files目錄植入目錄名為3721，共含15個文件和1個文件夾。
共計植入53個文件和2個子文件夾。
②安裝上網(wǎng)助手后的文件植入情況：
● WindowsDownloaded Program Files目錄被植入30個文件1個文件夾；
● WindowsSystem32Drivers目錄植入CnMinPK.sys驅(qū)動程序文件。
● Program Files目錄植入目錄名為3721，共含79個文件和7個文件夾。
● Program Files目錄植入目錄名為YDT，共含4個文件和1個文件夾。
共計植入114個文件和9個子文件夾。

圖 18 以驅(qū)動方式植入系統(tǒng)，安全模式也能生效

圖 19 Windows資源管理器中無法查看的隱藏文件和目錄
2、寫入的注冊表項目
據(jù)安裝前后的注冊表導(dǎo)出比較后得出的不完全統(tǒng)計，系統(tǒng)注冊表被寫入的內(nèi)容大致如下（因瀏覽網(wǎng)頁等操作會導(dǎo)致動態(tài)修改，因此可能會有一些誤差）：
安裝3721后，注冊表中被寫入122個鍵項、408個鍵值；
安裝上網(wǎng)助手后，注冊表中被寫入251個鍵項、656個鍵值。
遺憾的是，按正確的方法卸載、重啟后注冊表項目仍然無法全部被清除！
3、多種途徑實現(xiàn)的自動加載項
3721聲明以標(biāo)準(zhǔn)系統(tǒng)接口實現(xiàn)自動加載，而且將這些標(biāo)準(zhǔn)接口利用得淋漓盡致！
⑴上網(wǎng)助手在注冊表HLM下面的Run鍵項中添加helper.dll、YDTMain.exe、CnsMin三個自動加載模塊，而且卸載、重啟后仍然存在（圖20）；
⑵通過驅(qū)動程序模式加載CnMinPK.sys模塊，實現(xiàn)進程隱藏，并且通過系統(tǒng)本身的Msconfig無法檢測；
⑶通過其多個模塊之間的相互修復(fù)和守護實現(xiàn)，實現(xiàn)交叉安裝、修復(fù)、加載；
⑷通過嵌入瀏覽器幫助對象，實現(xiàn)功能的自動加載；
⑸通過各模塊卸載對話框中的修復(fù)選項，誘導(dǎo)用戶在卸載某個模塊的同時，修復(fù)和自動加載另一些模塊；
⑹通過捆綁到某些第三方安裝程序，在安裝過程中實現(xiàn)自動安裝和自動加載。

圖 20 卸載后仍然自動重啟的模塊
4、自我守護的進程
如圖21，安裝上網(wǎng)助手后，任務(wù)列表中會存在三個進程，其中以Rundll32.exe顯示的兩個進程可以實現(xiàn)自動交叉修復(fù)，即一個進程是另外一個進程的守護進程。因此，使用Windows任務(wù)管理器是無法順利將它們從內(nèi)存中關(guān)閉的，這點相信多數(shù)人深有體會！

圖 21 創(chuàng)建多個進程并且可自我守護
5、植入系統(tǒng)的瀏覽器加載項
圖22是上網(wǎng)助手自動植入系統(tǒng)中的8種瀏覽器加載項。用戶的瀏覽器成為幾大公司發(fā)財?shù)呢斣椿?。余下的就差沒有拿著刀子上門直接搶錢了。

圖 22 一口氣自動植入8種瀏覽器加載項6、自動植入瀏覽器工具欄的多種無關(guān)按鈕
呵呵，安裝后，瀏覽器上什么Yahoo!等亂七八糟的按鈕一股腦兒給你安裝上了，甚至連資源管理器也沒有放過。
7、控制面板添加刪除程序列表中的多余項目
在未被明確告知的情況下，安裝上網(wǎng)助手后，控制面板的添加刪除程序列表中會額外加入兩個程序項目。
8、植入系統(tǒng)的系統(tǒng)服務(wù)表
使用IceSword這款安全工具檢測系統(tǒng)服務(wù)描述表（SSDT），可以發(fā)現(xiàn)除Ntoskrnl.exe這個系統(tǒng)內(nèi)核外，就是3721和上網(wǎng)助手的“CnsMinKP.sys”了。搞編程的人知道這做到了什么級別，普通網(wǎng)民反正“眼不見為凈”?？梢姽Ψ蛘娴南碌搅思伊耍?

圖 23 資源管理器中被強行植入的按鈕
9、自動創(chuàng)建的線程情況
從圖24可以看出，上網(wǎng)助手及其模塊自動創(chuàng)建的線程數(shù)之多，在系統(tǒng)總體線程數(shù)的比例上是多得令人吃驚的！該圖為未打開任何瀏覽器以及其他相關(guān)窗口情況下的線程創(chuàng)建情況（部分需滾動才能查看）。

圖 24 不知道什么時候被植入的額外兩個模塊
10、后臺運行的消息鉤子
有興趣的人可以看看圖25中的鉤子類型，看看3721利用的大量鉤子函數(shù)在干些什么。

圖 25 通過任務(wù)管理器無法查看到的系統(tǒng)服務(wù)表
11、植入瀏覽器右鍵菜單的“！搜一搜”菜單項
呵呵，瀏覽器右鍵菜單中被植入的“！搜一搜”是不是該倒過來從右向左讀？這個世界的法則是不是也要倒過來解讀（圖26）？

圖 26 自動創(chuàng)建的線程列表
12、上網(wǎng)助手Assistse.exe打開本地1028端口
如圖27，上網(wǎng)助手Assistse.exe打開本地UDP 1028端口，作用不明。

圖 27 端口打開情況
13、植入Internet選項設(shè)置
圖28是植入到Internet選項的“高級”設(shè)置的內(nèi)容。看看，還有“自動升級”功能呢，有什么新的手段或主意了，再在您的系統(tǒng)中試試？

圖 28 Internet選項中被植入的內(nèi)容
四、3721及上網(wǎng)助手卸載情況剖析
有人在網(wǎng)卡撰文說3721現(xiàn)在可以通過其卸載程序干凈地卸載了。事實情況真的是這樣嗎？請看——
1、“完全刪除”和“完全卸載”的卸載承諾
如圖32，無論3721網(wǎng)絡(luò)實名還是上網(wǎng)助手，在卸載程序中都承諾“把上網(wǎng)助手從電腦中完全刪除”和“完全卸載實名插件并關(guān)閉實名功能”。

圖 29 卸載界面的承諾
2、完全卸載不完全
網(wǎng)絡(luò)實名卸載成功并重啟后，在資源管理器中無法看到WindowsDownloaded Program Files文件夾中有任何文件（即使你將資源管理器設(shè)置為顯示所有文件、顯示系統(tǒng)文件）。

圖 30 3721卸載重啟后資源管理器無法看到的隱藏文件
但使用著名的Total　Commander文件管理器，卻發(fā)現(xiàn)有一個zsmod.dll的隱藏文件！如果是卸載上網(wǎng)助手，卸載成功并重啟后，上述目錄居然隱藏有30個文件1個文件夾

以zsmod.dll為關(guān)鍵字在注冊表編輯器中搜索，可以發(fā)現(xiàn)這個文件并非是一個被“遺忘”的死文件，而是有相應(yīng)的注冊表鍵值！

卸載上網(wǎng)助手成功并重啟后，檢測BHO（瀏覽器幫助對象），發(fā)現(xiàn)系統(tǒng)中仍然保留有YDT.DLL和CnsHook.dll這兩個BHO對象！

卸載上網(wǎng)助手成功并重啟后，檢測自動加載項目，發(fā)現(xiàn)仍然存在helper.dll、YDTMain.exe、CnsMin三個自動加載的程序項目！

再檢測系統(tǒng)已經(jīng)加載的內(nèi)核模塊，發(fā)現(xiàn)以驅(qū)動形式加載的CnsMinKP.sys仍然被成功加載！以CnsMinKP.sys在注冊表編輯器中搜索，卸載成功并重啟后注冊表中仍然保留CnsMinKP.sys的3處隱藏服務(wù)鍵值，使得卸載操作完全是一個騙局，其基本功能根本沒有受到影響，至多是那個一般情況下顯示在系統(tǒng)托盤的可以向用戶提供“服務(wù)”的小圖標(biāo)不見了！當(dāng)然，系統(tǒng)Drivers目錄中的CnsMinKP.sys文件依然完好，沒有受到任何破壞！

看看系統(tǒng)進程如何。YDTMain.exe、相互守護的Rundll32.exe共3個進程仍然靜靜地在那兒！
由此可見，上述就是所謂的“把上網(wǎng)助手從電腦中完全刪除”的真相！
真的想把它們徹底清除嗎？可以，手工在添加刪除程序列表中把另外未被告知的兩個3721強行安裝的程序一一卸載（卸載時注意看清楚相關(guān)選項！否則可能又相互修復(fù)），此時絕大多數(shù)文件和注冊表被清除。但WindowsDownloaded Program Files文件夾中zsmod.dll的隱藏文件以及相關(guān)的注冊表鍵值卻永遠不會被清除！

3、額外安裝的兩個模塊必須另行卸載
下圖就是安裝時未被明確告知就強行安裝的、需要我們手工卸載的垃圾程序。

4、卸載過程中仍然試圖交叉修復(fù)
卸載這些額外程序模塊的過程中，存在默認被選中的以“卸載”二字開頭的一個選項：
“卸載上網(wǎng)助手-地址欄搜索后保留上網(wǎng)助手等按鈕”
如果你操作中只看了前面半句，以為是選擇了“卸載”它們，那你就錯了！
由此可見3721的對用戶的心理和電腦使用習(xí)慣研究得非常透徹，能夠利用的都充分利用了！