其實這個在去年就開始流出來了。
簡單說就是有人架了 http://p3p.jp/ 這網站,然後在一些 P2P 分享放加料過的軟體 (主要是糟糕遊戲,但現在似乎連防毒軟體、MS VisualStudio、MS Office 等套裝軟體、Windows 作業系統也出現了),軟體的 setup.exe、install.exe 被改造過,執行後會出現假的授權許可,使用者按下同意後,表示許可軟體把電腦裏的個人資料上傳到該網站 (即針對很多人都是完全不看授權許可的內容,直接按同意的習慣)。之後在不確定的時刻會將使用者的基本資料、IP、電腦狀況、螢幕截圖等東西傳到他們的網站,讓任何人都可輕易搜尋與觀看。
要他們移除還必須跟他們另外申請,而且付「和解費」才行
由於這作法走在法律邊緣,不知是官方還是上游處理了,這個日本網站馬上就被封鎖連不上。
但過了幾個月後,用相同手法但改架在美國的網站 http://warezer.net 出現了。明明就是詐騙,還大言不慚地自稱是「國際著作權機構」,超級可笑。
一樣是使用加料過的 setup.exe
下載的檔案 (注意那個「使用許諾契約書.TXT」,但已出現把該文字檔包在安裝檔裏面的版本了,所以不能只以有沒有這個檔來判斷是否有問題)
開始安裝
從這開始就是有問題的地方,他們加入的「同意傳送並公開資料」授權許可
還有要你填個人資料的地方 (真的有不少人乖乖填...)
有人分析過改造過的 setup.exe 內容,當點下該檔案時就已經開始抓電腦裏的資料上傳了,什麼「授權許可」只是障眼法而已;而「問卷」更只是附加多賺。
執行 setup.exe 後到程式視窗出現前:
GET /i.cgi 取得 IP 資訊
GET /h.cgi 取得 HOST 資訊
GET /img/exe/100226ou1.bmp 螢幕截圖
GET /img/exe/100226ou2.bmp 螢幕截圖
POST /ss.php 上傳截圖
POST /ss.php 上傳截圖縮圖
POST /xml.php 上傳 IE 書籤與最近使用檔案清單
GET /txt/rules.php ?
程式視窗出現後,輸入「問卷」按下確定後:
POST /entry/ 回傳個人資料
GET /txt/end.txt 最後面的「違反著作權」警告
POST /get/time/ 取得目前時間
GET /entry/(隨機文字) ?
POST /get/kijitu/ 傳回日期?
POST /get/num/ 傳回編號?
GET /search/user/(編號) 跳到 IE 的個人資料頁
POST /get/ ?
最後是畫面全黑、顯示「違反著作權」之類文字..
步驟是:點下 setup.exe → 取得電腦基本機料、螢幕截圖、IE 書籤、最近使用檔案清單並上傳 → 顯示授權許可 → 問卷 → 顯示「違反著作權」警告
當你在閱讀「授權許可」時,資料早就全都上傳完畢了
這次洩漏的東西更可怕!除了舊版本的那些資料,還有最近開過哪些檔案和資料夾、電腦裝了哪些軟體、IE 書籤、儲存裝置數量與容量。以這個故意惡搞的 118 勇者為例吧:
名前(Name) 近藤 勳 性別(Sex) 男性 生年月日(Birth) 1981/09/04(28) メールアドレス(Email) GINTAMAN@japan.com パスワード(Password) I Love Komika 質問(Question) 初恋の人の名前は? 答え(Answer) 志村妙 住所(Address) 000-0000 東京都警察廳真選組 電話番号(Telephone) 0000000000 家族(Family) 独身(家族別居) お住まい(House) 社宅・官舎 仕事(Job) その他 主人公の名前(Hero) 近藤 勳 (GINTAMAN) 恋人の名前(Lover) 志村 妙 (GINTAMAN) 親友の名前(Friend) 志村 新八 (GINTAMAN) 違法ダウンロードした理由(Motivation) GINTAMAN 趣味(Hobbies) GINTAMAN 特技(Specialty) GINTAMAN 感想(Feedback) GINTAMAN 如前面所見,在安裝遊戲時會問基本資料,填了後不論真假都會出現在這裏。 ユーザー名(UserName) BBXP ドメイン名(UserDomainName) HKGROUP-A67D417 コンピューター名(MachineName) HKGROUP-A67D417 使用OS(OSVersion) Microsoft Windows NT 5.1.2600 Service Pack 3 PCの起動時間(TickCount) 00:55:42.0450000 物理メモリ量(Workingset) 17915904 IPアドレス(IP) 140.118.230.176 リモートホスト(HOST) D1-0512-1.dorm.ntust.edu.tw ブラウザ(UserAgent) Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727) 言語(Language) zh-tw 画面解像度(Screen) 1048×655 這是使用者電腦的基本資料,目前還只有 IP 跟 HOST 算是比較隱私 コピー(Clipboard) C:\test\setup.exe 然後是剪貼簿的內容,有看到某使用者正好複製了個人地址電話的,也有正在處理糟糕物的。 スクリーンショット(ScreenShot) 3527のスクリーンショット 這個就很嚴重了,是使用者的螢幕截圖。桌面上有哪些東西外,正在使用的軟體也都外洩 デバイス(device) 使用者的磁碟機使用狀況 インストールされているプログラム(Program Files) 已安裝的程式,這也算是有點隱私的東西 最近使った項目(Recent) 最可怕可能就是這個了,會把使用者最近開過的檔案、資料夾都列出來,包括糟糕圖、糟糕本、糟糕片、文件檔等等。(從檔案名資料夾名稱就可以很容易推斷出使用者是誰,以及平常使用電腦習慣了。再用 google 「人肉搜尋」一下,實際身份就曝光啦。甚至有日本鄉民直接查出某遊戲評論者的住宅,還跑到人家房子前留影...) IEのお気に入り(Favorites) IE 的「我的最愛」,從這也可以看出使用者的上網習慣。該網站還很貼心的弄成連結形式,方便觀眾直接點... |
目前會抓出這「木馬」的防毒軟體不多:
可惜! 晚了一步
小紅傘也無效
Symantec 也只有舊版的資料而已
「中獎者」非常多:
- Capcom 的遊戲設計師
- 俄國人(?)也中獎
- 西方人?
- 長崎某中學校長
(這個校長就是因為檔名而被發現姓名、職業,又因為校長開過幾個蘿莉糟糕圖片,結果日本的討論區就炎上一發不可收拾... 日本鄉民已經用相關資料把校長全家的姓名、學經歷都人肉搜尋出來,該校的網站因湧入大量人潮而緊急關閉,事件也被媒體報導出來了,這若是再繼續發展下去可能會導致家破人亡啊!) - 也有很多台灣鄉民中獎:正在上糟糕島的、正在上 PTT 的
- 糟糕遊戲:
Cross Days、 彼女の母親~ウチの娘だと思って…ね?~、 馴染みのオバちゃん、 熟恋母~ダチのママはマイダッチ~、 晒され妻~ダメなのに恥辱に喘ぐ友人の母~、 兄嫁の淫穴~裏切りの代償、 まままーじゃん、 姉です。、 おっぱいハート、 あまあね鳥羽奏とハネムーン愛ランド、 ボクカノ~僕が男の娘を愛した経緯について、 どすこい!女雪相撲、 Rewrite 体験版、 ユメミルクスリ、 ふくびき!トライアングル、 恋刀乱麻、 オレの妹のエロさが有頂天でとどまる事を知らない、 イチャずら、 お姫様は、ぱんてられお、 まじからっと ☆れいでぃあんと、 かしましコミュニケーション、 中出し鬼、 借金姉妹2 AfterStory、 娼囚令嬢、 炎の孕ませおっぱい身体測定、 小公女シャルロット、 ねこねこファンディスク3、 甘い刻、 こいらぼ、 右手がとまらない僕と幼なじみの姉妹、 最果てのイマ、 絶対美少女改造クラブ、 ひのまる、 おたく☆まっしぐら、 家族計画、 CROSS†CHANNEL、 翼をください、 ペロペロさせてR 〜みみっこメイド発情期〜、 性処理くらぶ、催眠生活 - 一般遊戲:
ダブルスポイラー ~東方文花帖~ - 微軟:
Windows 7、 Windows Vista、 Windows XP Professional、 Office Enterprise 2007、 Visual Studio 2008 - 其他軟體:
Homepage Builder 13、 Homepage Builder 14、 Norton 360 v4.0、 PC-Cillin 2010、 弥生会計10、 筆まめ Ver.20、 VOCALOID2 初音ミク、 VOCALOID2 鏡音リン・レン、 VOCALOID2 鏡音リン・レン act2、 VOCALOID2 巡音ルカ、 VOCALOID2 がくっぽいど
目前推測被加料過的遊戲與軟體 (粗體表示已有傳到該網站紀錄的):
並不是只有用 share、winny 之類日系 P2P 軟體才會中獎,若有人把加料過的軟體放到 eMule、BT 分享,甚至是放到免費空間、論壇的東西,一樣有可能出事;所以別隨便安裝來路不明的軟體... 至於預防方法則很簡單,安裝防火牆軟體並只把真正沒問題的軟體列入信任名單可直接連線,其他軟體要連線都必須經過詢問,確認的確沒問題之後再放行。雖然會比較麻煩些,但隱私與安全比這多一點點步驟重要多了。
※ 後續發展
※ ↑ 被「某當事人」檢舉而被被封鎖了,請改連 http://mstar.pixnet.net/blog/post/31329221