利益驱动下恶意软件的演变

恶意软件是网络世界的麻烦制造者。它们常会'乔装打扮'混入电脑，并且凭借网络轻松跨越地域和国界出没于世界各个角落。在中国也毫不例外地了出现它们的身影，并且其日渐猖獗。现在中国已经形成了从恶意程序编写到传播的一条完整的恶意软件产业链。通常情况下，恶意软件制造者将恶意软件编写完成后，其代理商在网上出售这些软件的使用权，然后与制造者一起瓜分恶意软件所创造的巨额利润。

在中国，恶意软件到底如何赚钱呢？方法有很多，例如一些国产木马程序通过窃取在线游戏玩家的密码、虚拟货币以及网络游戏有关的其他虚拟物品，再将其在网上出售以获取收入，或者是恶意软件在用户电脑上弹出大量广告窗口，然后从广告商那里根据弹出广告窗口的数量收取广告费。

但是，下面这个恶意软件的牟利方式与上面方式相比显得有一些低调而又‘务实’,它被一些反病毒厂商命名为Adware.Cinmus。 因为这个恶意软件还有下载恶意程序等破环系统安全性的行为，所以也被命名为Trojan.Cinmus/Cinmeng。这个恶意软件主要是利用系统安全漏洞，在用户不知情的情况下自动’潜伏’。

这个恶意软件修改以下注册表的值：如图1

图1. 被修改的注册表项

淘宝taobao.com是中国一个面向消费者的电子商务平台，可以说它就是中国的eBay。

图1中SearchScopes 的子键是IE7创建的一些随机GUID（全球唯一标识符）。这些GUID值的注册表项用于设置IE浏览器的搜索选项，请注意：注册表路径"\SearchScopes\" 只适用于IE7以及其后续版本。

注册表项URL是其中的关键选项，它用于设置IE浏览器搜索引擎。一些恶意软件通过将这个设置篡改为恶意网站， 当用户输入搜索关键字点击IE浏览器上的“搜索”按钮后，IE会自动打开恶意软件设置的恶意网站。如图2, 这种恶意行为被称为浏览器劫持，它的主要特征是在用户不知情的情况下修改浏览器的设置，使得浏览器被重定向到不知名的网站，其中有一些是恶意网站。

图2. URL的重定向设置

然而这一次情况却有所不同，请注意图1.中键值项URL的值：

----------------------------------------------------------------------------------------------------------
 URL = "http://[removed].taobao.com/browse/search_auction.htm?q={searchTerms}&pid=mm_XXXXX&..."
----------------------------------------------------------------------------------------------------------

键值项“URL”使用了OpenSearch 语法定义的搜索关键字，因为IE7(以及其后续版本)和Firefox兼容这些关键字，所以它们是网络上推荐使用的搜索格式，｛searchTerms｝是其中最重要的一个。当用户执行搜索时，它将被替换成用户所输入的关键字。

“q”和“pid”是淘宝的网址动态参数。
• “q” ：搜索查询参数
• “pid” ：网站联盟成员编号。

当IE浏览器打开这个网址，参数“pid=mm_XXXXX”意味着淘宝网站知道客户端通过联盟成员“mm_XXXXX”浏览它的页面。

暂且不论道德问题，修改这些注册表选项能带来什么经济利益？

其实，像其它网络分销联盟一样，淘宝网站从搜索查询中确认访问来源，这时浏览器虽然仍然显示淘宝网站的搜索结果，但是用户在淘宝上的点击次数和购买金额将直接影响到联盟成员的酬劳。

淘宝并不是唯一一个被恶意软件利用来获得利润的网站。事实上，很多网站都提供酬劳以鼓励其联盟成员推广其网站，例如亚马逊（中国）。与以前广告软件(Adware)恼人的弹出式广告不同，现在的恶意软件编写者变得低调而‘务实’，在网络大众日常上网或在线购物的不经意之间，使大量财富流进了恶意软件编写者的口袋。

Security Reseacher: Matthew Zhao