單位同事桌面上出現了 “新浪游戲總動園、“燃燒戰車等游戲圖標,點擊後將直接連接到igame.sina.com.cn/,轉入新浪網iGame游戲界面。事實上大部分人都沒有登陸過新浪游戲,面對突然莫名出現在自己桌面的游戲圖標,大家難免產生疑問:“究竟是誰動了我的電腦?
事實上,動了我們機器的既不是我們的同事也不是家人,而是大名鼎鼎的新浪網。經調查發現,這是新浪利用用戶的系統漏洞傳播的一個類似於病毒的小插件——用戶登陸新浪頁面時,IE在後台自動下載ActiveX控件並安裝,產生名為nmgamex.dll、sinaproc327.exe、csrss.exe的三個常駐文件,並且在系統啟動項中自動加載。也就是說,如果用戶沒有及時發現並終止這兩個文件,系統就會自動在桌面生成 “新浪游戲總動園及“燃燒戰車等游戲的快捷方式。不僅如此,新浪還將NMgamex.dll文件與系統啟動文件rundll32.exe進行綁定,並且偽造系統文件csrss.exe,產生一個同名的文件與系統綁定加載到系統啟動項內,導致用戶無法直接關閉系統進程後刪除。因此,自2004年下半年開始,登陸新浪且本身機器未安裝過Windows SP2補丁的用戶開始頻繁中招,網上抗議者甚眾,部分網站甚至將其列入惡性病毒行列,並應運而生了“新浪游戲總動園病毒專殺工具。
近日,記者再次訪問新浪新聞中心時發現,igame彈出窗口已經消失,新浪的用戶終於擺脫了使其困擾已久的新浪游戲強制推廣方式。
強制性IE插件:有多少權利可以被侵犯
通過IE插件進行強制推廣的網站,新浪並不是始作俑者。最早以插件方式安裝軟件的網站首推3721,在見證了3721奇跡般的推廣速度後,CNNIC、8848、百度、新浪以及現在的淘寶等網站也迎頭趕上,紛紛借鑒此方式進行強制性推廣。
提起大名鼎鼎的3721插件,許多網民已經到了“談虎色變的地步。3721網絡實名是Internet Explorer的一個插件,提供中文實名網址和搜索功能。3721的覆蓋面之廣,已不必說,基本上只要網民浏覽網頁,就必然會與3721不期而遇。基於各種原因,很多網站會向來訪者推薦3721插件,在這之前網頁首先要檢測你的電腦中到底有沒有安裝3721插件,已安裝了插件的機器可以繼續浏覽網頁,而沒有安裝插件的網民,則要等待浏覽器下載安裝文件,然後詢問是否安裝。在這個檢測和下載的過程中,許多浏覽器都可能進入一種不響應的狀態,甚至會引起死機,嚴重干擾了用戶對網頁的浏覽。為了避免這樣的情況頻繁發生,大部分網民選擇屈服,安裝了3721插件。但是,噩夢開始了。由於種種原因,在方便用戶上網之余,3721還搞了不少小動作,例如采用後台運行,隨系統啟動而啟動、拖慢上網速度、造成系統不穩定、導致電腦關閉時經常會出現Explorer.exe 出錯的提示等。更可怕的是,早期的3721插件完全沒有卸載功能。雖說3721列出:“今後如果您認為不需要,可以隨時通過控制面板中的‘添加/刪除程序’完全卸載實名插件以關閉實名功能。而事實上用戶卻不能通過控制面板“添加/刪除程序刪除3721插件程序,一旦被其粘上就無法擺脫,用戶不得不手工刪除注冊表相關信息和文件。
由於3721有意無意的“系統缺陷給諸多的網民帶來了數不勝數的麻煩,諸多網絡高手屢出新招,不斷發布如何屏蔽最新3721插件的方式,其方法之多之詳,令人吃驚之余,也不免感歎3721出眾的“凝聚力,使得如此多的用戶不約而同一致抵制。一些殺毒軟件,還曾經把3721網絡實名列為病毒。由此不難看出3721的影響之深。新版的3721插件雖然據說進行了改進,修正了某些系統問題,並已經添加了完全卸載功能,但是在多數用戶眼裡,它早已是說慣了“狼來了的小孩,縱然再怎麼巧舌如簧,許多用戶也再不敢買3721的賬。
而作為搜索門戶之一的百度,不僅有獨立的網站提供搜索服務,而且還向許多門戶網站、個人站點提供搜索技術,此外百度還有由數萬個個人網站組成的強大的網站聯盟,累計加起來,百度每天的浏覽量接近5000萬人次左右,遠遠超過了新浪、搜狐、網易等門戶網站。只要出現百度的搜索結果,幾乎就能看到百度彈出的插件。即使用戶拒絕安裝,“百度IE伴侶也會隱藏在如紫光拼音等某些常用軟件中悄然進駐使用者的計算機。
記者的一位朋友,近期就不慎中了百度的招。百度插件開機自動運行“BIE進程,拖慢上網速度,使系統運行極不穩定,在網上搜索發現,該插件安裝後可不經用戶許可就刪除用戶硬盤數據和注冊表項,致使一些軟件無法正常運行,每隔1至2秒會掃描大量注冊表項,並進行一些設置和刪除的操作,影響系統性能。同時,這個軟件還可能導致常用的Windows Update功能出現問題。更可怕的是百度這個叫“BIE的後台程序隱藏運行,在系統配置程序裡刪不掉,其對應的注冊表項刪除後又自動恢復,與病毒的特征完全一樣。還有用戶反應百度插件與中國游戲中心在線客戶端、影音衛士等軟件沖突,關機時經常會致使IE出錯。
為了安全起見,朋友打算卸載此插件,但是卻找不到刪除的方法,桌面上沒有刪除的圖標,添加刪除程序項裡面也沒有。使用Google一查——很多人也在和他一樣,到處尋找如何刪除的辦法,一些人的求援標題寫得極為搞笑:“跪求卸載百度插件的方法、“脫衣求...、“泣血求...、“賣身求...,看來,中招兒的人還真不少。大多都是在毫不知情的情況下吃了百度的啞巴虧。
而最令人匪夷所思的則是去年12月份,8848開發的一款名為Mysearch的軟件,許多用戶反映,安裝這款插件後,搜索速度明顯降速,用戶在各大網站搜索時只要點擊8848插入的圖片,就會自動訪問8848。而用戶在安裝此軟件前,並不知此插件的危害,此插件只能由專業人員通過修復計算機注冊表才能卸載。且上網用戶安裝此插件後,登陸百度、Google、中搜、新浪、搜狗等網站搜索信息時,各大搜索引擎頁面均會被修改,出現8848插入的圖片、宣傳及其他搜索引擎鏈接。
如果說插件的強行安裝、相互覆蓋用戶還可以接受,8848插件篡改了搜索結果的最終內容則讓用戶忍無可忍——裝與不裝我們無法選擇,如今,看與不看也已經不是網民能夠自主決定的事情。面對各種插件越來越強硬的強盜手段,許多網民不由感慨:“究竟還有什麼權利,是強制性IE插件不敢侵犯的?
百度、3721、8848等等網站未經用戶許可強制推廣插件的問題,早已成為互聯網上聲討的熱門。這些插件多數采用了Hook技術,經常導致電腦運行不正常、死機、訪問網站出錯、無法完全卸載,最匪夷所思的是,有些插件還設置了後門,以獲取用戶信息。這幾乎已經是徹頭徹尾的病毒。
強制性IE插件這種過分“自做多情的安裝及運行方式,早已在網民中引起了強烈的抵觸情緒,不少網民干脆稱百度IE伴侶、3721插件、CNNIC插件、新浪游戲插件是垃圾,其中3721插件還獲得“3721病毒的殊榮。
插件技術發明的初衷,是為了方便用戶,使用戶只要登錄網站,就能獲得最新的軟件版本,不需要自己到處搜索,顛覆了早期的軟件安裝方式,也曾經獲得用戶的接受與贊許。新浪游戲、百度IE伴侶、3721上網助手等插件編寫的初衷,也是為了方便使用者。但是,凡事都該有個限度,在“助人為樂之前,至少要清楚被助者是否真的有這方面的需要,而不該是死纏爛打,不管用戶是否需要,裝了再說,甚至上升到隨意篡改用戶搜索信息的地步。用戶是各大網站發展及壯大的最終利益來源,水能載舟亦能覆舟。任何有利的技術一旦成為了強制性的推廣工具,忽略的用戶的個人感受與意願,必然會引起用戶的不滿與抵觸,嚴重的還會使用戶不得不訴諸法律以求解決。
早在2002年底, 3721就因網絡實名軟件非法駐留用戶計算機系統,監視用戶上網行為,造成用戶計算機系統的異常死機被告上法庭。雖然此案以原告撤訴告終,但它留給我們的問題卻值得思考:軟件用戶是否有權利知道軟件的詳細情況,是否有對軟件安裝與否的最終選擇權?
紛爭不止,利益之爭何時休
而用戶提起的訴訟畢竟還是少數,真正的硝煙,卻是燃起在各大網站之間。自互聯網出現至今,網絡規范一直是一個暧昧且模糊的問題,這或許暗合了中國的一句老話:“公道自在人心。而能創造最終利益的並不是公道,而是用戶占有率。於是,在日益激烈的競爭中,各大門戶也難免互踩,憑借一些並不公道的小手段,打擊或者削弱對手。
2003至今,涉及到IE搜索插件的官司不斷,一度鬧得沸沸揚揚,說到底,不過是利益之爭。先是3721狀告CNNIC惡意屏蔽——當用戶在微軟IE浏覽器中安裝了其網絡實名軟件後,當再安裝CNNIC的通用網址後,網絡實名軟件的相關程序和數據信息就會遭到有針對性的破壞和刪改;緊接著百度控告3721不正當競爭——3721插件一直屏蔽百度IE搜索伴侶插件,造成百度IE搜索伴侶無法下載和正常運行,因此導致數百萬百度用戶無法使用百度IE搜索伴侶,同時讓諸多網民對百度提供的插件服務產生誤解;再下來是8848指控百度對其服務器進行攻擊——1月中旬,8848突然對外宣稱百度利用其搜索聯盟攻擊8848網站,導致全面癱瘓,錯愕中的百度在沉默不久後,終於公開抨擊8848炒作;接著是中搜、百度幾乎同時起訴8848插件篡改搜索結果——上網用戶安裝8848 Mysearch插件後,登陸百度、Google、中搜、新浪、搜狗等網站搜索信息時,各大搜索引擎頁面均會被修改,出現8848插入的圖片、宣傳及其他搜索引擎鏈接。
涉及到IE搜索插件的官司如同一個神奇的“莫比烏斯帶,當用刷子油漆這個它時,能連續不斷地一次就刷遍整個曲面。諸多門戶就在這個曲面上艱難的爬行,你方告罷我登場,爭奪不休,看似誰都有理,而事實上只是同時站在利益這個大曲面上,當真正進行嚴格的法律界定時,誰都沒有清白無誤的時候。
地址欄資源爭奪也好,產品和技術陷阱也罷,客戶所能帶來的最終利益,才是多家爭奪的焦點。強制性IE插件的本質.
背景材料一:
1.什麼是插件?
插件是指會隨著IE浏覽器的啟動自動執行的程序。
2.惡意插件有什麼特征?
有些插件程序能夠幫助用戶更方便浏覽因特網或調用上網輔助功能
,也有部分程序被人稱為宣傳軟件(Adware)或間諜軟件(Spyware)。此類惡意插件程序監視用戶的上網行為,並把所記錄的數據報告給插件程序的創建者,以達到投放宣傳、盜取游戲或銀行賬號密碼等非法目的。
因為插件程序由不同的發行商發行,其技術水平也良莠不齊,插件程序很可能與其他運行中的程序發生沖突,從而導致諸如各種頁面錯誤,運行時間錯誤等等現象,阻塞了正常浏覽。
3.插件會從什麼位置加載到IE浏覽器中?
根據插件在浏覽器中的加載位置,可以分為工具條(Toolbar)、浏覽器輔助(BHO)、搜索掛接(URL SEARCHHOOK)、下載ActiveX(ACTIVEX)。
4.不同類型插件名詞解釋
①下載ActiveX(ACTIVEX):
ActiveX插件也叫做OLE控件或OCX控件,它是一些軟件組件或對象,可以將其插入到WEB網頁或其它應用程序中。在因特網上。ActiveX插件軟件的特點是:一般軟件需要用戶單獨下載然後執行安裝。而ActiveX插件是當用戶浏覽到特定的網頁時,IE浏覽器即可自動下載並提示用戶安裝。
ActiveX插件安裝的前提是必須先下載,然後經過認證,最終用戶確認同意方能安裝,因此嵌有ActiveX腳本程序的頁面可能會變得非常慢,甚至導致浏覽器瞬間失去響應。
②浏覽器輔助(BHO)
BHO全稱Browser Helper Object, 是一種隨因特網浏覽器(如IE)每次啟動而自動執行的小程序。通常情況下,一個BHO文件是由其它軟件安裝到用戶的系統中的。例如一些帶有下載功能的宣傳軟件,它可能會安裝一個BHO文件從而追蹤用戶在上網沖浪遇到的眾多網頁宣傳。
通常的BHO會幫助用戶更方便地浏覽因特網或調用上網輔助功能,也有一部分BHO被人稱為宣傳軟件(Adware)或間諜軟件(Spyware),它們監視用戶的上網行為並把記錄的相關數據報告給BHO的創建者.BHO也可能會與其他運行中的程序發生沖突,從而導致諸如各種頁面錯誤,運行時間錯誤等等現象,通常阻止了正常浏覽的進行。
③搜索掛接(URL SEARCHHOOK)
用戶在地址欄中輸入非標准的網址,如英文字符或者中文的時候,當地址欄無法對輸入字符串解釋成功時,浏覽器會自動打開一個以用戶輸入的字符串為搜索詞的結果頁面,幫助用戶找到需要的內容。URLSearchhook對象就是完成搜索功能的插件。它通常是由第三方公司或者個人開發,通過插件的方式安裝到浏覽器上,目的是為了幫助用戶更好的使用互聯網。例如用戶在地址欄中輸入“手機,就可以直接看到手機搜索結果。也有一些企業或者個人為了達到提高網站訪問或其他商業目的,在用戶不知情的情況下修改IE浏覽器的URLSearchhook。
④工具條(Toolbar)
通常指加載在浏覽器的輔助工具。它位於浏覽器標准工具條的下方,在IE工具欄空白處點擊右鍵,可以查看所有已經安裝的工具條,通過勾選顯示或者隱藏已安裝的工具條。
背景材料二:
保護與自我保護
現今網絡強制性IE插件橫行,不知何時我們的機器就會中招,為了安全起見,自我保護的方式必不可少。還沒有被這些插件擊中的用戶,可通過升級Windows系統,安裝Windows XP SP2插件,調整IE安全級別等方式保護自己的機器不被IE插件改動。已安裝了類似插件的用戶,可通過如下方式完全卸載該類插件,解決後顧之憂。
調整IE浏覽器的安全級別
點擊IE浏覽器“工具菜單的“Internet選項的“安全標簽,此時看到您的安全級別應該處於“低的位置,即“下載大多數內容,且無下載提示。為了抵抗不明插件,請將IE的安全級別調整至“中的位置,“下載潛在不安全的內容之前給予提示、“不下載未簽名的ActiveX控件。調整了IE浏覽器的安全級別,再遇到插件的時候, IE會彈出一個簽名提示框,詢問是否需要安裝此插件。當每次遇到插件時,最好要仔細閱讀簽名框再進行操作,確保不會誤操作。
新浪“游戲總動園卸載方法
刪除方法:首先修改注冊表,關閉名為啟動項nmgamex.dll、csrss.exe,然後刪除nmgamex.dll、sinaproc327.exe兩個文件,再修改csrss.exe文件為任意一個文件名。重新啟動計算機後刪除修改的csrss.exe文件。
WIN2K操作系統,動項鍵值如下:
1、啟動名稱為:nmgamex_autorun 類型:REG_SZ 鍵值:C:WINNTsystem32Rundll32.exe NMGameX.dll,LiveProcess/aa
2、啟動名稱為:csrss.exe 類型:REG_SZ 鍵值:C:WINNTcsrss.exe
文件所在目錄:
csrss.exe c:winntcsrss.exe; 正確的系統文件目錄為:c:winntsystem32csrss.exe;
cctv5.exe c:cctv5.exe;
sinaproc327.exe c:winntsystem32sinaproc327.exe;
NMWizardA14.exe c:winntNMWizardA14.exe
nmgamex.dll c:winntsystem32nmgamex.dll
察看文件NMGameX.dll屬性,在版本項中可以看到如下信息:
備注:SPORT-新浪體育頻道
產品版本:1,0,0,24
產品名稱:NMGAMEN.XEngine
個人用內部版本說明:無
公司名稱:NMGameX
合法商標:無
內部名稱:NMGameX
特殊內部版本說明:無
語言:中文(中國)
源文件名:NMGameX.dll
卸載百度插件的方法:
1.重新啟動計算機,按 F8 進入安全模式(F8 只能按一次)
2.單擊 開始 -> 運行 regedit打開注冊表,進入:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run刪除鍵:BIE 其鍵值為:Rundll32 C:\WINNT\DOWNLO~1\BDPlugin.dll,Rundll32(如果是win98,這裡的 C:\WINNT\DOWNLO~1\ 為 C:\WINDOWS\DOWNLO~1\)
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\AdvancedOptions\ACCESSIBILITY
刪除鍵:BDSEARCH,此鍵在 Internet 選項 -> 高級 中加入了百度IE搜索伴侶的選項。
HKEY_CLASSES_ROOT
刪除鍵:BDHlprObj.BDHlprObj
刪除鍵:BDHlprObj.BDHlprObj.1
刪除鍵:BDHook.BDSrchHook
刪除鍵:BDHook.BDSrchHook.1
刪除鍵:BDHook.URLBDHook
刪除鍵:BDHook.URLBDHook.1
刪除鍵:BDPlugins.Interceptor
刪除鍵:BDPlugins.Interceptor.1
HKEY_CLASSES_ROOT\CLSID
刪除鍵:{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}
刪除鍵:{CA92B524-BC8A-4610-BD2C-6BD3E28155D0}
HKEY_CLASSES_ROOT\TypeLib
刪除鍵:{CE7C3CE2-4B15-11D1-ABED-709549C10000}
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID
刪除鍵:{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}
刪除鍵:{CA92B524-BC8A-4610-BD2C-6BD3E28155D0}
HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib
刪除鍵:{CE7C3CE2-4B15-11D1-ABED-709549C10000}
HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units
刪除鍵:{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}
刪除鍵:{CA92B524-BC8A-4610-BD2C-6BD3E28155D0}
刪除完注冊表中的項之後,還需要刪除存儲在硬盤中IE搜索伴侶的文件。
刪除如下文件:C:\WINNT\DOWNLO~1 目錄下(98下為 C:\WINDOWS\DOWNLO~1\ 下同)
BDEX.DLL 24576 12-25-02 11:43
BDPLUGIN.DLL 49152 12-25-02 11:44
BDSRHOOK.DLL 32768 12-25-02 11:45
BDHELPER.DLL 36864 12-25-02 11:52
BDSEARCH.INF 1507 12-28-02 9:48
以上文件全部刪除,這樣百度IE插件就基本上從你的計算機中全部清除了。最後,重新啟動計算機,進入正常模式就不再有百度插件的侵害了。
禁止百度插件的方法:
完全刪除百度插件之後,用Windows自帶的記事本打開hosts文件(hosts文件是Windows裡面自帶的將主機名稱映射到 IP 地址的一個文本格式的文件,hosts表位置,Win9x系列在C:Windows,NT、win2000平台在winntsystem32driversetc,Winxp平台在windowssystem32driversetc,如果找不到就查找一下hosts)
加入以下字符(IP和域名之間用一個空格間隔開):
127.0.0.1 bar.baidu.com
127.0.0.1www.baidu.com
127.0.0.1 baidu.com
卸載3721插件的詳細過程:
由於這個3721網絡實名插件是使用Rundll32.exe調用連接庫的,系統無法終止
Rundll32.exe進程,所以我們必須重新啟動計算機,按 F8 進入安全模式之後,單擊 開始 -> 運行 regedit.exe 打開注冊表,進入:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除鍵:CnsMin
其鍵值為:Rundll32.exe C:\WINNT\DOWNLO~1\CnsMin.dll,Rundll32
(如果是win98,這裡的 C:\WINNT\DOWNLO~1\ 為 C:\WINDOWS\DOWNLO~1\)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\
刪除整個目錄:!CNS
這個目錄在 Internet 選項 -> 高級 中加入了3721網絡實名的選項。
HKEY_LOCAL_MACHINE\SOFTWARE\3721\ 以及 HKEY_CURRENT_USER\Software\3721\
刪除整個目錄:3721
注:如果您安裝了3721的其它軟件,如 極品飛貓 等,則應刪除
整個目錄:HKEY_LOCAL_MACHINE\SOFTWARE\3721\CnsMin