他在制造病毒
作者：欧阳斌  人气： 【字体：大 中 小】
  发布时间：2006-10-21 09:11:44

有网站在兜售自己的商业模式，并号称，已经“控制”了中国的3000万台PC。

但是，它的卖点是一个可以弹出定向广告的木马程序，从其可以暗中跟踪并反馈PC用户行为的表征看，它很有可能被归为“病毒”。休 闲居 编 辑

做这么一件事情，这些人已经花了2年多时间。

 

他在制造病毒？！

刘菁菁

 

“几个月前，我的电脑只要一上网就弹出一个外观像IE的广告窗口，无论我怎么拦截，那个IE窗口都会像幽灵一样时不时地出现，竟然有时候会假冒msn的消息，有几回我访问自己的网站，竟然也有弹出广告。打开IE的缓存目录进行追查，结果我什么也没能发现，根本没有刚才那个网页的踪影。于是我开始在那个弹出窗口上动手了解，Ctrl+N，没反应，Ctrl+D，也没反应，F11还是不予理会，我开始琢磨，这是个什么东西，打开任务管理器查看进程，发现多了个rundll32.exe。奇怪了，IE窗口怎么会是rundll32.exe，这可是Windows的内核调用程序，我想，不会是我的系统‘中招’了吧！？我开始上google搜寻，发现了有不少人有和我一样的问题。”

 

愤怒,

无法拦截、不好删除

博客论坛的一位网友很愤怒地告诉记者，从今年2月开始，他的电脑只要连上网络，就会莫名其妙地弹出类似IE的广告窗口，这个广告窗口无论用IE的阻止弹出窗口程序或者其他拦截程序都无法屏蔽，用各种反病毒软件也无法查杀，因此只要用户不小心“中招”，就会无休止地接到弹出广告，有时甚至弹出高达上百个窗口。“这简直是病毒！”

而另一受害者苏小姐在两天前下载安装某最新版本共享软件时不幸“中招”，在没有得到任何提示的情况下被绑定了某个程序。从开机开始，一个红色的小图标就进驻到系统进程里，一旦关闭还会自动启动继续进驻系统进程，并且一旦浏览网页，就不断在桌面右下角弹出“手机铃声下载，激情美女图片”等暧昧广告，使人不厌其烦。苏小姐在正常卸载不成的情况下使用了“优化大师”智能卸载并完全删除了相关文件夹，但广告还是“恪尽职守”地按时弹出，经过系统追查，发现该程序自动修改了防火墙设置，允许它和相关的一系列程序访问网络，并关闭了其安装提示窗口。最终，苏小姐也没有找到它的完全卸载图标，只能进注册表完全删除键值。

究竟是什么样的“病毒”如此“嚣张”？本报记者进行了一系列的调查。

 

千橡：

你在干什么？！

网友称，他的防火墙拦截到一个叫dmcast.exe的应用程序向外发出的一个不明身份的网络请求，在c:/program下找到了dmcast.exe的版权文本文件，发现是千橡公司的产品。

它的创始人正是ChinaRen创始人，陈一舟。

在千橡的网站首页，记者看到了软件Desktop Media的详细介绍，他们宣称：桌面传媒(Desktop Media，下文简称DM)是一个集广告（多种形式）发布、显示、统计、结算为一体的完整解决方案；通过独有技术可以使广告信息直接延伸到用户操作终端，突破传统互联网广告的页面局限，根据不同的内容，匹配相关广告；面向千万级广告受众群，拥有超越传统媒体和传统网络宣传形式的广告即时性和有效性。

DM广告发布模式包括：“用户在打开IE浏览网页的时候激发广告；用户只要打开电脑联网时，定时弹出广告。”

在千橡公司广告形式演示窗口里，详细地展示了DM 的广告形式，包括类似MSN 客户端信息窗口、POPUP窗口、视频广告、客户端软件推送等各种模拟形式。

千橡在网站的醒目位置显示其强大广告力量（记者后来发现，该页面内容在采访之后已被撤去）：

峰值在线用户数目: 90万；终端桌面用户: 3000万；每天登录用户: 1300万；每天新增用户: 25万；浏览量: 8000万PV/天 ；广告点击转化率:5%-20%(通常网络广告点击转化为3-5‰)。

值得注意的是，千橡向它的客户们兜售：“通过独有技术可以使广告信息直接延伸到用户操作终端，突破传统互联网广告的页面局限，根据不同的内容，匹配相关广告”，也就是说，“DM可以直接监控用户的网络活动，并根据用户的个人喜好加载广告，这种有的放矢的宣传方式，无疑会更为有效直接”。

可是，DM是如何进入PC进行用户个人资料收集的呢？

 

布局，

如何潜入3000万台PC

那么这个在官方网站也不提供下载的“桌面广告传媒软件”是如何悄无声息地抓取了如此多的终端用户呢？

从DM的官方网站我们清楚地知道，DM通过与其它软件捆绑的方式进入了我们的电脑。

调查发现，DM的捆绑软件中有一个很有名的叫做“DuDu下载加速器”，它是由dudu.com推出的——dudu.com又是属于知名网站猫扑网。

而猫扑早已被这家叫做“千橡”的公司合并。在猫扑网的千橡公司介绍页面里很清楚地注明：千橡公司拥有并运作引领潮流的青少年社区门户DuDu网，2004年3月，公司通过股权置换完成了与猫扑网的合并。

接着，千橡通过“共享软件联盟”大张旗鼓地招募加盟软件，通过捆绑合作来推广DM。也就是说，随着这个联盟的扩大，DM将跟随越来越多的软件进入越来越多的PC。

 

许可，

皇帝的新衣

记者发现，在DM文件夹里有一个名为license.txt的用户许可协议，其中的13条声明：用户需在软件安装前至官方网站http://www.dmcast.com阅读本协议，如用户阅读后未表示任何异议则表明用户信任本公司，自愿安装本软件，并接受本协议所有条款。

可是，直到DM进入了3000万桌面用户时，大家甚至不知道安装了这个“插件”。这个所谓的“许可”直到要删除时大家才发现，它的隐蔽性被分析人士认为“是人为的”。

千橡在协议中提到：“保证不保存、跟踪、泄露用户的个人信息”，可是在桌面传媒网(www.dmcast.com)上却写着DM能“根据用户上网行为，匹配相关广告”，看起来，这似乎是一件“以子之矛，攻子之盾”的事情。对此，千橡又是如何解释的呢？

事实上，4月份的时候，千橡是这样说的：“根据对用户的日常上网习惯、个人爱好、搜索关键词、浏览记录、常浏览网站等行为的分析，为客户提供广告定向投放”。后来才改成相对比较中性的“根据用户上网行为，匹配相关广告”。

协议的其他几个条款也十分“霸道”，如第六条规定，“如果用户在安装本软件后因任何原因欲放弃使用，可从安装目录中运行uninstall完全卸载本软件，因卸载产生的一切后果由用户承担。”

有网友说，“这就好像一个小偷，在偷你钱包的同时，写了张纸条放在你口袋里：需要在被我偷之前至我官方网站http://www.小偷.com阅读本协议，如用户阅读后未表示任何异议则表明用户信任本小偷，自愿让本小偷偷，并接受本协议所有条款。如果用户不接受本协议，不愿被本小偷偷，请在本小偷偷的时候说明，并报警，谢谢。”

 

猫腻，

醉翁之意在于？

陈一舟在2004年09月02日一个名为《中国互联网开创第四盈利模式》报告中曾提到DuDu加速器在猫扑推出半年不到现在已经有1000万的用户。

分析人士指出，从离开ChinaRen.com到建立DuDu网，再到与猫扑网合并，再到后来的“共享软件联盟”，这两年，陈一舟一路走来，所做的不过是在生产一件件华丽的外衣，DM才是其推广核心。

在本次调查中，记者还发现了如下一份文件：“关于停止对我公司5460网站用户隐私侵犯和我公司商业数据侵权行为的公函”，这封信措辞严厉，谴责了千橡“非法窃取数据”的行为。

据5460的工作人员介绍，5460日前收到用户反映，检查后发现猫扑通过用户的用户名和密码用程序（从后台查证服务器IP为211.157.106.210）登陆同学录取走用户所有班级所有成员的联系方式。通过进一步的检查发现，从4月21号开始，猫扑在未经过5460中国同学录网站及用户知晓的情况下，利用诱导得到的大量用户的用户名和密码方式，盗走了大量用户的资料。5460、ChinaRen、QQ、MSN、网易邮箱上面也正生着同样状况。

在所谓的“第四类盈利模式”里，陈一舟和他的千橡或者会模糊地告诉用户，“这是一颗夹心糖。”而究竟这颗糖里包藏着怎样的夹心，他们往往一笔带过，或干脆只字不提。

当DM糖霜褪尽，图穷匕现时，千橡又该如何自圆其说呢？

 

自述，

两套说辞的背后

记者以普通公司询问业务的角色接通了千橡的技术人员的电话。

千橡公司的王先生解释说，3000万的用户数量是一个累计的结果，至于数据如何获得，公司方面不方便透露。而DM的推广方式是与共享软件绑定，为共享软件开发人员提供一种赚取广告费的收费途径，目前以有数百个共享软件绑定了DM产品。

“如果用户喜欢浏览体育类的网页，我们就向他们投放体育类的广告。我们提供的广告正好是用户需要的，用户会主动来看，效果自然很好。”王先生说。

在记者的一再追问下，王先生进行了详细的解释，即所有的广告都放在DM服务器上，通过用户打开IE浏览网页的操作触发DM软件，软件将在后台对用户浏览网页的关键词进行提取并返回DM服务器，由服务器对关键词进行分析匹配，并按照关键词向用户投放其可能感兴趣的广告内容。

问及该程序运行时是否被用户关掉而影响广告效果时，王先生指出：“一切都是在在后台运行的，整个过程是一个后台过程，用户不会看到。”

对于这种后台收集用户数据的做法是否违法，王先生表示：“现在的免费软件都插有广告页面，比如FlashGet，用户不会对此提出疑义。”而对于收集后台用户资料问题是否获得用户许可，王先生表示，这只是一个后台过程，用户看不到。

事实上，DuDu下载加速器的卸载极其麻烦，即使是专业技术人员也要大费周折，对于普通用户来说，几乎无法删除。更恶劣是的，即使删除了DuDu下载加速器，DM仍然无法删除，也就是说DuDu下载加速器实际上是DM的华丽外壳，而DM才是DuDu真正要推给用户的东西。而除了DuDu下载加速器，更多的共享或免费软件中也捆绑了DM，但其中的大部分都没有明确说明捆绑的事实，很多人都是在安装这些软件的时候无意中也安装了DM。

稍后，另一名记者对千橡进行了正面采访，记者表明身份后，千橡公司的卢先生表示：“或许是双方间存在误会，需要进一步的沟通。”

关于首页提到的匹配问题，卢先生表示需要由技术人员回答。关于DM是否是病毒的问题，卢先生肯定地说，国内对于病毒的概念看法和国外不同，通过和国内的杀毒软件厂商沟通，现在大部分的杀毒软件仅仅将DM当作是Adware——即是一个和共享软件捆绑的广告程序，并不是病毒或者木马。卢先生还告诉记者，如果没有在提示中指明，则可能是与内容提供商的沟通有问题，或者也存在着一定的误会。

 

“病毒”，

导致刑事犯罪？

有些共享软件开发商也开始对DM的推广模式也存在着质疑。一家大型的共享媒体播放软件市场部人员告诉记者，他们已经绑定了DuDu的下载加速器，如果其中隐藏着DM软件，并如DM主页所言统计用户信息并有针对性的向用户投放广告，这种做法应该会对共享媒体的信任度有不好的影响，他们并不赞同这样的做法。他们会详细咨询此事，如果真的绑定了DM程序，将会考虑终止与DuDu合作协议。

根据美国联邦贸易委员会FTC的定义，间谍软件有许多种类型：从能够获取密码、信用卡号及其它敏感数据的按键记录程序，到相对无害的弹出式广告程序无所不包。不难看出，千橡的DM属于间谍软件的行列。

而随后记者向权威信息安全专家咨询时，专家指出，该程序即使不是“病毒”，也至少是一个带有明显入侵性的木马程序。

律师认为，一种程序在未经许可的情况下私自收集用户信息，从最基本的角度看，已经侵犯了公民的隐私权，使公民的个人利益受到侵害。

6月3日，在本报主办的“中国CSO俱乐部大会”上，国家计算机病毒应急处理中心主任张建博士讲了一个例子：国内有人通过木马程序控制了6万台电脑，涉嫌“刑事犯罪”，已经被捕，唐山公安局正在处理此事。

当问及DM程序性质，张健博士认为，DM是否属于“病毒”，需要正式的“鉴定程序”。但是从其行为表征看来，其有可能触犯了我国刑法第285、第286条。

1997年的新刑法286条明确规定：“违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处5年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款规定处罚。故意制造、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款规定处罚。”

DM至少涉嫌“修改、增加、干扰”这三项。

另外，中华人民共和国公安部令第51号令《计算机病毒防治管理办法》中第五条规定：“任何单位和个人不得制作计算机病毒”。

信息安全人士指出，DM后台运行并监控用户访问网站关键字以匹配相关广告的做法，已经具有“病毒”的实质。律师认为，从表象看，这有可能是在打了法律的“擦边球”。（实习记者吴穹对本文亦有贡献）

≡ 查看、发表评论 ≡