Wayne's Blog

其實這個在去年就開始流出來了。 簡單說就是有人架了 http://p3p.jp/ 這網站，然後在一些 P2P 分享放加料過的軟體 (主要是糟糕遊戲，但現在似乎連防毒軟體、MS VisualStudio、MS Office 等套裝軟體、Windows 作業系統也出現了)，軟體的 setup.exe、install.exe 被改造過，執行後會出現假的授權許可，使用者按下同意後，表示許可軟體把電腦裏的個人資料上傳到該網站 (即針對很多人都是完全不看授權許可的內容，直接按同意的習慣)。之後在不確定的時刻會將使用者的基本資料、IP、電腦狀況、螢幕截圖等東西傳到他們的網站，讓任何人都可輕易搜尋與觀看。 要他們移除還必須跟他們另外申請，而且付「和解費」才行 由於這作法走在法律邊緣，不知是官方還是上游處理了，這個日本網站馬上就被封鎖連不上。 但過了幾個月後，用相同手法但改架在美國的網站 http://warezer.net 出現了。明明就是詐騙，還大言不慚地自稱是「國際著作權機構」，超級可笑。 一樣是使用加料過的 setup.exe

下載的檔案 (注意那個「使用許諾契約書.TXT」，但已出現把該文字檔包在安裝檔裏面的版本了，所以不能只以有沒有這個檔來判斷是否有問題) 開始安裝 從這開始就是有問題的地方，他們加入的「同意傳送並公開資料」授權許可 還有要你填個人資料的地方 (真的有不少人乖乖填...)

有人分析過改造過的 setup.exe 內容，當點下該檔案時就已經開始抓電腦裏的資料上傳了，什麼「授權許可」只是障眼法而已；而「問卷」更只是附加多賺。

執行 setup.exe 後到程式視窗出現前：

GET /i.cgi　　　　　　　　　　　　　　　　取得 IP 資訊 GET /h.cgi 　　　　　　　　　　　　　　　 取得 HOST 資訊 GET /img/exe/100226ou1.bmp 　　　　　螢幕截圖 GET /img/exe/100226ou2.bmp 　　　　　螢幕截圖 POST /ss.php　　　　　　　　　　　　　　上傳截圖 POST /ss.php　　　　　　　　　　　　　　上傳截圖縮圖 POST /xml.php　　　　　　　　　　　　　上傳 IE 書籤與最近使用檔案清單 GET /txt/rules.php 　　　　　　　　　　　？

程式視窗出現後，輸入「問卷」按下確定後：

POST /entry/　　　　　　　　　　　　　　回傳個人資料 GET /txt/end.txt 　　　　　　　　　　　　最後面的「違反著作權」警告 POST /get/time/ 　　　　　　　　　　　　取得目前時間 GET /entry/(隨機文字)　　　　　　　　　　？ POST /get/kijitu/ 　　　　　　　　　　　　傳回日期？ POST /get/num/ 　　　　　　　　　　　　 傳回編號？ GET /search/user/(編號)　　　　　　　　　跳到 IE 的個人資料頁 POST /get/ 　　　　　　　　　　　　　　　？

最後是畫面全黑、顯示「違反著作權」之類文字..

步驟是：點下 setup.exe → 取得電腦基本機料、螢幕截圖、IE 書籤、最近使用檔案清單並上傳 → 顯示授權許可 → 問卷 → 顯示「違反著作權」警告 當你在閱讀「授權許可」時，資料早就全都上傳完畢了 這次洩漏的東西更可怕！除了舊版本的那些資料，還有最近開過哪些檔案和資料夾、電腦裝了哪些軟體、IE 書籤、儲存裝置數量與容量。以這個故意惡搞的 118 勇者為例吧：

名前(Name)   近藤 勳 性別(Sex)   男性 生年月日(Birth)   1981/09/04(28) メールアドレス(Email)   GINTAMAN@japan.com パスワード(Password)    I Love Komika 質問(Question)   初恋の人の名前は？ 答え(Answer)   志村妙 住所(Address)   000-0000 東京都警察廳真選組 電話番号(Telephone)   0000000000 家族(Family)   独身(家族別居) お住まい(House)   社宅・官舎 仕事(Job)   その他 主人公の名前(Hero)   近藤 勳 (GINTAMAN) 恋人の名前(Lover)   志村 妙 (GINTAMAN) 親友の名前(Friend)   志村 新八 (GINTAMAN) 違法ダウンロードした理由(Motivation)   GINTAMAN 趣味(Hobbies)   GINTAMAN 特技(Specialty)   GINTAMAN 感想(Feedback)   GINTAMAN 如前面所見，在安裝遊戲時會問基本資料，填了後不論真假都會出現在這裏。 ユーザー名(UserName)   BBXP ドメイン名(UserDomainName)   HKGROUP-A67D417 コンピューター名(MachineName)   HKGROUP-A67D417 使用OS(OSVersion)   Microsoft Windows NT 5.1.2600 Service Pack 3 PCの起動時間(TickCount)   00:55:42.0450000 物理メモリ量(Workingset)   17915904 IPアドレス(IP)   140.118.230.176 リモートホスト(HOST)   D1-0512-1.dorm.ntust.edu.tw ブラウザ(UserAgent)   Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727) 言語(Language)   zh-tw 画面解像度(Screen)   1048×655 這是使用者電腦的基本資料，目前還只有 IP 跟 HOST 算是比較隱私 コピー(Clipboard)   C:\test\setup.exe 然後是剪貼簿的內容，有看到某使用者正好複製了個人地址電話的，也有正在處理糟糕物的。 スクリーンショット(ScreenShot)   3527のスクリーンショット 這個就很嚴重了，是使用者的螢幕截圖。桌面上有哪些東西外，正在使用的軟體也都外洩 (可看到一堆人正在用 P2P 抓糟糕物，還有正在看糟糕本糟糕片、玩糟糕遊戲的.. 也有人正好在收 email，本名因而曝光。還發現個台灣的鄉民正在用網頁傳簡訊給女友，電話號碼大喇喇秀出來) デバイス(device) 使用者的磁碟機使用狀況 インストールされているプログラム(Program Files) 已安裝的程式，這也算是有點隱私的東西 最近使った項目(Recent) 最可怕可能就是這個了，會把使用者最近開過的檔案、資料夾都列出來，包括糟糕圖、糟糕本、糟糕片、文件檔等等。(從檔案名資料夾名稱就可以很容易推斷出使用者是誰，以及平常使用電腦習慣了。再用 google 「人肉搜尋」一下，實際身份就曝光啦。甚至有日本鄉民直接查出某遊戲評論者的住宅，還跑到人家房子前留影...) IEのお気に入り(Favorites) IE 的「我的最愛」，從這也可以看出使用者的上網習慣。該網站還很貼心的弄成連結形式，方便觀眾直接點... 還有很可怕的一點：以上的內容都可在網站上以關鍵字搜索！ 用 TW 或 zh-tw 當關鍵字，竟可找出兩三百個台灣的使用者...

目前會抓出這「木馬」的防毒軟體不多： 可惜！ 晚了一步 小紅傘也無效 Symantec 也只有舊版的資料而已 「中獎者」非常多：

• Capcom 的遊戲設計師
• 俄國人(?)也中獎
• 西方人？
• 長崎某中學校長
  (這個校長就是因為檔名而被發現姓名、職業，又因為校長開過幾個蘿莉糟糕圖片，結果日本的討論區就炎上一發不可收拾... 日本鄉民已經用相關資料把校長全家的姓名、學經歷都人肉搜尋出來，該校的網站因湧入大量人潮而緊急關閉，事件也被媒體報導出來了，這若是再繼續發展下去可能會導致家破人亡啊！)
• 也有很多台灣鄉民中獎：正在上糟糕島的、正在上 PTT 的
目前推測被加料過的遊戲與軟體 (粗體表示已有傳到該網站紀錄的)：
• 糟糕遊戲：
  Cross Days、 彼女の母親～ウチの娘だと思って…ね？～、 馴染みのオバちゃん、 熟恋母～ダチのママはマイダッチ～、 晒され妻～ダメなのに恥辱に喘ぐ友人の母～、 兄嫁の淫穴～裏切りの代償、 まままーじゃん、 姉です。、 おっぱいハート、 あまあね鳥羽奏とハネムーン愛ランド、 ボクカノ～僕が男の娘を愛した経緯について、 どすこい！女雪相撲、 Rewrite 体験版、 ユメミルクスリ、 ふくびき！トライアングル、 恋刀乱麻、 オレの妹のエロさが有頂天でとどまる事を知らない、 イチャずら、 お姫様は、ぱんてられお、 まじからっと ☆れいでぃあんと、 かしましコミュニケーション、 中出し鬼、 借金姉妹2 AfterStory、 娼囚令嬢、 炎の孕ませおっぱい身体測定、 小公女シャルロット、 ねこねこファンディスク3、 甘い刻、 こいらぼ、 右手がとまらない僕と幼なじみの姉妹、 最果てのイマ、 絶対美少女改造クラブ、 ひのまる、 おたく☆まっしぐら、 家族計画、 CROSS†CHANNEL、 翼をください、 ペロペロさせてR 〜みみっこメイド発情期〜、 性処理くらぶ、催眠生活
• 一般遊戲：
  ダブルスポイラー ～東方文花帖～
• 微軟：
  Windows 7、 Windows Vista、 Windows XP Professional、 Office Enterprise 2007、 Visual Studio 2008
• 其他軟體：
  Homepage Builder 13、 Homepage Builder 14、 Norton 360 v4.0、 PC-Cillin 2010、 弥生会計10、 筆まめ Ver.20、 VOCALOID2 初音ミク、 VOCALOID2 鏡音リン・レン、 VOCALOID2 鏡音リン・レン act2、 VOCALOID2 巡音ルカ、 VOCALOID2 がくっぽいど
並不是只有用 share、winny 之類日系 P2P 軟體才會中獎，若有人把加料過的軟體放到 eMule、BT 分享，甚至是放到免費空間、論壇的東西，一樣有可能出事；所以別隨便安裝來路不明的軟體... 至於預防方法則很簡單，安裝防火牆軟體並只把真正沒問題的軟體列入信任名單可直接連線，其他軟體要連線都必須經過詢問，確認的確沒問題之後再放行。雖然會比較麻煩些，但隱私與安全比這多一點點步驟重要多了。 ※ 後續發展 ※ ↑ 被「某當事人」檢舉而被被封鎖了，請改連 http://mstar.pixnet.net/blog/post/31329221