流氓和病毒有多少不一样

这篇文章是半年前写的，亲身体验到流氓和病毒之间的默契。

周末有个记者朋友要拍摄关于木马和病毒行为的演示，为了简单的把木马行为表现出来，就想到最经典的远程控制工具――冰河。遂 google 一下，从天空网站下载了冰河 8.4 。一时找不到测试机，想想不过是小小的冰河，还能把我怎样，不料，就这个简单的病毒测试，让我大跌眼镜。  

我在另一台机器上跑了服务端，然后，关了金山毒霸的文件监控，在工作机上跑客户端。双击 G_CLIENT.EXE 后，我立即后悔了 *_* ，因为发现除了控制端启动外，还弹出了个程序出错的窗口，我立即意识了，这客户端捆绑了别的东东。  

拍摄完毕，立即查一下都发生了哪些改变。首先用金山毒霸扫描内存，没有发现病毒。检查控制面板 → 添加删除程序 ，发现安装了 CNNIC 插件、 Dudu 下载加速器，作为专业人员，我当然不能容忍，立即卸载了 CNNIC 插件和 Dudu 下载加速器。使用金山毒霸安全助手分析，果然发现了更多的启动加载项和 IE 插件。但是很快我发现问题不是这样简单，清除几个可疑加载项后，系统还是会弹出广告。清除这些流氓软件还不是小菜，立即下载流氓软件清理助手，结果检测到。  

我把这个样本转给从事病毒分析的朋友，结果更让人吃惊，在这个大小为 2M 的程序中竟然捆绑了多达 13 个程序，其中广告流氓插件 6 个。这里，给大家看个列表：  

IEHelper  

DuDu  

网络猪  

化词搜索  

Desktop Media桌面传媒  

傲讯广告插件  

那个冰河的下载地址为[url]http://sdly.driversky.com/down/glac84.zip[/url]，有兴趣的朋友也可以下载验证一下。  

作为从事网络安全的专业人员，当然清楚如何保护自己的系统，也看到过流氓软件利用病毒手法传播的报道，自己测试病毒时被流氓软件骚扰还是第一次。也更多的看清了流氓软件的丑恶嘴脸，不管 CNNIC 这类垃圾如何为自己辩解，我所测试的这个病毒，其传播者应该是从 CNNIC 们那里获得实实在在的利益了，或者本身就是这些丑恶的商业公司自己在利用病毒传播。  

因为是商业公司在传播流氓软件，反病毒厂商通常不能在自己的商业软件中直接清除这些流氓软件，以避免法律纠纷。但流氓软件公司对没有版权信息的工具软件却无可奈何，推荐大家使用流氓软件清理助手把自己的电脑打扫干净，安装流氓软件免疫器，永久避免流氓软件的骚扰。对于我来说，即使除 CNNIC 之外的所有搜索引擎一夜之间全死光，我宁用记事本把经常要去的 URL 全记录下来，也不会去用 CNNIC 。同样，即便网络从此慢到龟速，也不会去让 Dudu 的破加速器进入我的电脑。