其實這個在去年就開始流出來了

簡單說就是有人架了 http://p3p.jp/ 這網站,然後在一些 P2P 分享放加料過的軟體 (主要是糟糕遊戲,但現在似乎連防毒軟體、MS VisualStudio、MS Office 等套裝軟體、Windows 作業系統也出現了),軟體的 setup.exe、install.exe 被改造過,執行後會出現假的授權許可,使用者按下同意後,表示許可軟體把電腦裏的個人資料上傳到該網站 (即針對很多人都是完全不看授權許可的內容,直接按同意的習慣)。之後在不確定的時刻會將使用者的基本資料、IP、電腦狀況、螢幕截圖等東西傳到他們的網站,讓任何人都可輕易搜尋與觀看。




要他們移除還必須跟他們另外申請,而且付「和解費」才行





由於這作法走在法律邊緣,不知是官方還是上游處理了,這個日本網站馬上就被封鎖連不上。


但過了幾個月後,用相同手法但改架在美國的網站 http://warezer.net 出現了。明明就是詐騙,還大言不慚地自稱是「國際著作權機構」,超級可笑。




一樣是使用加料過的 setup.exe

下載的檔案 (注意那個「使用許諾契約書.TXT」,但已出現把該文字檔包在安裝檔裏面的版本了,所以不能只以有沒有這個檔來判斷是否有問題)



開始安裝




從這開始就是有問題的地方,他們加入的「同意傳送並公開資料」授權許可




還有要你填個人資料的地方 (真的有不少人乖乖填...)







有人分析過改造過的 setup.exe 內容,當點下該檔案時就已經開始抓電腦裏的資料上傳了,什麼「授權許可」只是障眼法而已;而「問卷」更只是附加多賺。

執行 setup.exe 後到程式視窗出現前:

GET /i.cgi                取得 IP 資訊
GET /h.cgi                 取得 HOST 資訊
GET /img/exe/100226ou1.bmp      螢幕截圖
GET /img/exe/100226ou2.bmp      螢幕截圖
POST /ss.php              上傳截圖
POST /ss.php              上傳截圖縮圖
POST /xml.php             上傳 IE 書籤與最近使用檔案清單
GET /txt/rules.php            ?


程式視窗出現後,輸入「問卷」按下確定後:

POST /entry/              回傳個人資料
GET /txt/end.txt             最後面的「違反著作權」警告
POST /get/time/             取得目前時間
GET /entry/(隨機文字)          ?
POST /get/kijitu/             傳回日期?
POST /get/num/              傳回編號?
GET /search/user/(編號)         跳到 IE 的個人資料頁
POST /get/                ?


最後是畫面全黑、顯示「違反著作權」之類文字..


步驟是:點下 setup.exe → 取得電腦基本機料、螢幕截圖、IE 書籤、最近使用檔案清單並上傳 → 顯示授權許可 → 問卷 → 顯示「違反著作權」警告

當你在閱讀「授權許可」時,資料早就全都上傳完畢了




這次洩漏的東西更可怕!除了舊版本的那些資料,還有最近開過哪些檔案和資料夾、電腦裝了哪些軟體、IE 書籤、儲存裝置數量與容量。以這個故意惡搞的 118 勇者為例吧:

名前(Name)   近藤 勳
性別(Sex)   男性
生年月日(Birth)   1981/09/04(28)
メールアドレス(Email)   GINTAMAN@japan.com
パスワード(Password)    I Love Komika
質問(Question)   初恋の人の名前は?
答え(Answer)   志村妙
住所(Address)   000-0000 東京都警察廳真選組
電話番号(Telephone)   0000000000
家族(Family)   独身(家族別居)
お住まい(House)   社宅・官舎
仕事(Job)   その他
主人公の名前(Hero)   近藤 勳 (GINTAMAN)
恋人の名前(Lover)   志村 妙 (GINTAMAN)
親友の名前(Friend)   志村 新八 (GINTAMAN)
違法ダウンロードした理由(Motivation)   GINTAMAN
趣味(Hobbies)   GINTAMAN
特技(Specialty)   GINTAMAN
感想(Feedback)   GINTAMAN

如前面所見,在安裝遊戲時會問基本資料,填了後不論真假都會出現在這裏。


ユーザー名(UserName)   BBXP
ドメイン名(UserDomainName)   HKGROUP-A67D417
コンピューター名(MachineName)   HKGROUP-A67D417
使用OS(OSVersion)   Microsoft Windows NT 5.1.2600 Service Pack 3
PCの起動時間(TickCount)   00:55:42.0450000
物理メモリ量(Workingset)   17915904
IPアドレス(IP)   140.118.230.176
リモートホスト(HOST)   D1-0512-1.dorm.ntust.edu.tw
ブラウザ(UserAgent)   Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727)
言語(Language)   zh-tw
画面解像度(Screen)   1048×655

這是使用者電腦的基本資料,目前還只有 IP 跟 HOST 算是比較隱私


コピー(Clipboard)   C:\test\setup.exe

然後是剪貼簿的內容,有看到某使用者正好複製了個人地址電話的,也有正在處理糟糕物的。


スクリーンショット(ScreenShot)   3527のスクリーンショット

這個就很嚴重了,是使用者的螢幕截圖。桌面上有哪些東西外,正在使用的軟體也都外洩

(可看到一堆人正在用 P2P 抓糟糕物,還有正在看糟糕本糟糕片、玩糟糕遊戲的.. 也有人正好在收 email,本名因而曝光。還發現個台灣的鄉民正在用網頁傳簡訊給女友,電話號碼大喇喇秀出來)


デバイス(device)

使用者的磁碟機使用狀況


インストールされているプログラム(Program Files)

已安裝的程式,這也算是有點隱私的東西


最近使った項目(Recent)

最可怕可能就是這個了,會把使用者最近開過的檔案、資料夾都列出來,包括糟糕圖、糟糕本、糟糕片、文件檔等等。(從檔案名資料夾名稱就可以很容易推斷出使用者是誰,以及平常使用電腦習慣了。再用 google 「人肉搜尋」一下,實際身份就曝光啦。甚至有日本鄉民直接查出某遊戲評論者的住宅,還跑到人家房子前留影...)


IEのお気に入り(Favorites)

IE 的「我的最愛」,從這也可以看出使用者的上網習慣。該網站還很貼心的弄成連結形式,方便觀眾直接點...

還有很可怕的一點:以上的內容都可在網站上以關鍵字搜索! 用 TW 或 zh-tw 當關鍵字,竟可找出兩三百個台灣的使用者...





目前會抓出這「木馬」的防毒軟體不多:

可惜! 晚了一步



小紅傘也無效



Symantec 也只有舊版的資料而已


「中獎者」非常多:
  • Capcom 的遊戲設計師
  • 俄國人(?)也中獎
  • 西方人?
  • 長崎某中學校長
    (這個校長就是因為檔名而被發現姓名、職業,又因為校長開過幾個蘿莉糟糕圖片,結果日本的討論區就炎上一發不可收拾... 日本鄉民已經用相關資料把校長全家的姓名、學經歷都人肉搜尋出來,該校的網站因湧入大量人潮而緊急關閉,事件也被媒體報導出來了,這若是再繼續發展下去可能會導致家破人亡啊!)
  • 也有很多台灣鄉民中獎:正在上糟糕島的正在上 PTT 的


    • 目前推測被加料過的遊戲與軟體 (粗體表示已有傳到該網站紀錄的):
      • 糟糕遊戲:
        Cross Days彼女の母親~ウチの娘だと思って…ね?~馴染みのオバちゃん熟恋母~ダチのママはマイダッチ~晒され妻~ダメなのに恥辱に喘ぐ友人の母~兄嫁の淫穴~裏切りの代償、 まままーじゃん、 姉です。、 おっぱいハート、 あまあね鳥羽奏とハネムーン愛ランドボクカノ~僕が男の娘を愛した経緯についてどすこい!女雪相撲Rewrite 体験版ユメミルクスリふくびき!トライアングル恋刀乱麻オレの妹のエロさが有頂天でとどまる事を知らないイチャずらお姫様は、ぱんてられおまじからっと ☆れいでぃあんと、 かしましコミュニケーション、 中出し鬼借金姉妹2 AfterStory、 娼囚令嬢、 炎の孕ませおっぱい身体測定小公女シャルロットねこねこファンディスク3甘い刻こいらぼ右手がとまらない僕と幼なじみの姉妹、 最果てのイマ、 絶対美少女改造クラブ、 ひのまる、 おたく☆まっしぐら、 家族計画、 CROSS†CHANNEL、 翼をください、 ペロペロさせてR 〜みみっこメイド発情期〜、 性処理くらぶ、催眠生活
      • 一般遊戲:
        ダブルスポイラー ~東方文花帖~
      • 微軟:
        Windows 7、 Windows Vista、 Windows XP ProfessionalOffice Enterprise 2007Visual Studio 2008
      • 其他軟體:
        Homepage Builder 13Homepage Builder 14Norton 360 v4.0、 PC-Cillin 2010、 弥生会計10、 筆まめ Ver.20、 VOCALOID2 初音ミク、 VOCALOID2 鏡音リン・レン、 VOCALOID2 鏡音リン・レン act2、 VOCALOID2 巡音ルカ、 VOCALOID2 がくっぽいど


      並不是只有用 share、winny 之類日系 P2P 軟體才會中獎,若有人把加料過的軟體放到 eMule、BT 分享,甚至是放到免費空間、論壇的東西,一樣有可能出事;所以別隨便安裝來路不明的軟體... 至於預防方法則很簡單,安裝防火牆軟體並只把真正沒問題的軟體列入信任名單可直接連線,其他軟體要連線都必須經過詢問,確認的確沒問題之後再放行。雖然會比較麻煩些,但隱私與安全比這多一點點步驟重要多了。


      後續發展

      ↑ 被「某當事人」檢舉而被被封鎖了,請改連 http://mstar.pixnet.net/blog/post/31329221


Wayne Su 發表在 痞客邦 PIXNET 留言(1) 人氣()


留言列表 (1)

發表留言
  • 閃
  • 真是可怕的訊息....

    真是可怕...去年的11/27就放上去了哦...
    好在日文版的叉批批系統,在這去年的去年之前就抓好了
    版主提供的資料來看....這病毒真可怕 就算虛擬系統內執行 牠也照樣破解
    share目前還是少碰為妙....
  • 如果是使用虛擬系統,只要設定不打開網路連線就不會出事了

    至於問題不在於是什麼 P2P 軟體,只因為 share 是日本的大宗才會這樣,若製作者用 BT 或騾子把軟體放出來,一樣都中獎

    Wayne Su 於 2010/04/29 13:31 回覆

您尚未登入,將以訪客身份留言。亦可以上方服務帳號登入留言

請輸入暱稱 ( 最多顯示 6 個中文字元 )

請輸入標題 ( 最多顯示 9 個中文字元 )

請輸入內容 ( 最多 140 個中文字元 )

請輸入左方認證碼:

看不懂,換張圖

請輸入驗證碼

【 X 關閉 】

【PIXNET 痞客邦】國外旅遊調查
您是我們挑選到的讀者!

填完問卷將有機會獲得心動好禮哦(注意:關閉此視窗將不再出現)

立即填寫取消