คำเตือน!: กระทู้นี้โหลดภาพเยอะมาก และเนื้อหาอาจเกิดจากการมโนล้วนๆ ก็เป็นได้ โปรดใช้วิจารณญาณและทักษะการใช้คอมพิวเตอร์ในการอ่านกระทู้...
Edit: แก้ไขข้อมูลเล็กน้อยในส่วนที่บอกว่า Scan ไฟล์ใน VirusTotal ครับ
เมื่อวานนี้ ระหว่างที่ผมทดสอบ Baidu Browser ในสภาวะที่ปลอดภัยที่สุด (โดยการลบตัว Process อื่นๆ ที่ไม่เกี่ยวข้องกับตัวโปรแกรมหลัก) เมื่อผมได้อัพเกรดตัว Browser จาก 40.17 เป็น 43.18 นั้น ก็ได้พบความผิดปกติบางอย่าง ก่อนที่จะ Copy ตัวโปรแกรมออกจาก Sandbox ผมจึงไล่ทดสอบลงโปรแกรม Baidu Browser ใน Sandbox ใหม่ทั้งสองเวอร์ชั่น แล้วพบว่า...
จากรูป
1. มี 1 ไฟล์ที่เป็น Process ได้หายไป นั่นคือ bdtray.exe ซึ่งตัวนี้จะเป็นโปรแกรม BitTorrent ที่ไว้ใช้คู่กับ Browser การหายไปของไฟล์นี้ ทำให้นับจาก Version 43.18 เป็นต้นไป Browser ตัวนี้จะไม่มี BitTorrent ในตัวอีกต่อไปแล้ว...
2. มี 1 ไฟล์ที่เป็น Process ได้เพิ่มขึ้นมา นั่นก็คือ
CloudOPTClient.exe ซึ่งในข้อมูลของไฟล์ระบุว่าเป็นไฟล์ "PC Faster Cloud OPT" ซึ่งก็ไม่รู้เหมือนกันว่าเอาไว้ทำอะไร เลยลองเอาไป Scan ใน VirusTotal ดู...
โดยผลจากการ Scan ไฟล์ในข้อ 2 ปรากฏว่าเว็บ VirusTotal ตรวจพบว่าไฟล์นี้ถูกสร้างขึ้นจากโปรแกรม Adware ตัวหนึ่ง (
ดูที่หัวข้อ CarbonBlack ในแถบ Relationships) ซึ่งก็พบว่าเป็นตัว Adware ที่ชื่อว่า The Desktop Weather ซึ่ง ณ ขณะนี้ เป็นโปรแกรมตัวเดียวกับที่ SourceForge, OpenCandy, Better Installer รวมถึง Freeware ต่างๆ กำลังแถมอยู่...
ข้อมูลของ Adware ตัวดังกล่าว
[Spoil] คลิกเพื่อดูข้อความที่ซ่อนไว้The Desktop Weather เป็น Adware ที่แสดง Widget สภาพอากาศบนหน้าจอ แต่แปลกที่เวอร์ชั่นที่ตัวเองโดนในระหว่างทดสอบ ไม่ได้ลงชื่อในใบ Cer ว่าเป็นของ Baidu Japan แต่ลงชื่อว่าเป็น ShenZhen Enode เลยคิดว่าถ้าเอาเวอร์ชั่นของ Baidu Japan มา คนไทยก็รู้แน่นอนว่าเป็นโปรแกรมของบริษัทในตำนานที่กำลังดังในแง่ลบอยู่แล้ว เลยเลี่ยงชื่อแล้วพยายามปิดตัวตนที่แท้จริงของตัวเองว่า Baidu เป็นผู้อยู่เบื้องหลังตัวจรองของโปรแกรมตระกูลนี้...
และนอกจาก Desktop Weather Tool ที่เจอแล้ว ยังพบ Advanced Calendar ที่กำลังแถมอยู่ในตัวติดตั้ง KMPlayer ด้วย (ถ้าต่อเน็ตตอน Setup) โดยลงชื่อบริษัทในใบ Cer ว่ามาจาก ShenZhen Enode เหมือนกัน แถมมีเวอร์ชั่นญี่ปุ่นที่ลงชื่อในใบ Cer ว่าเป็นบริษัท Baidu Japan เหมือนกันด้วย...
*รูปโปรแกรม Weather Tool จาก SoftPedia
ทีแรกผมก็ไม่กล้าฟันธงหรอกครับว่าโปรแกรมเหล่านี้มันไม่ใช่เครือญาติของ Baidu...
แต่เมื่อวานนี้ ถ้าผมไม่ไล่เช็คอย่างละเอียดก่อนทดสอบ Baidu Browser ก็ไม่มีทางได้รับรู้ถึงความจริงที่ปิดบังครับ...
สิ่งที่ผมเช็คได้ว่าโปรแกรมเหล่านี้เป็น Baidu จำแลงมา...
มีไฟล์บางไฟล์ใช้ชื่อเหมือนกัน Description เดียวกัน และบ่งชี้ว่ามาจากตัว PC Faster ซึ่งเป็นโปรแกรมหลักของ Baidu (ตัวทำมาหากินเลย)
*อย่าลืมกลับไปเช็ครูปที่มีไฟล์จาก Baidu Browser ด้วยนะครับ
แล้วผมก็ค้นพบ URL แปลกๆ ในโปรแกรมเหล่านี้ด้วยครับ จาก Config File ที่มีอยู่ใน Folder ของโปรแกรมนั้นๆ
พอได้ URL เหล่านี้มาก็ไม่รอช้า กดค้นหาใน Google เลย...
ใช้คำค้นว่า "tools1000.com" ไม่พบข้อมูลอื่นนอกจาก IP และ WhoIs
ใช้คำค้นว่า "toptools100.com" เจอหน้าเพจของโปรแกรม Catch Video (catchyoutube.toptools100.com)
ซึ่งหน้าเว็บของโปรแกรม Catch Video นั้นคุ้นหน้าคุ้นตามาก เหมือนเคยเห็นเว็บของโปรแกรมไหนทำมาก่อน เลยเอามาเทียบดู...
*ชัดเลยครับ... ก๊อปปี้แม่แบบกันมาเลย...
หลังจากนั้นผมก็ลองโหลดตัวติดตั้งโปรแกรมดูครับว่าไอคอนของโปรแกมนี้หน้าตาเป็นไง...
*แม้แต่ไอคอนกล่องก็เหมือนกันอีก แต่สียังไม่เหมือน!!
แล้วก็ลองติดตั้งโปรแกรมใน Sandbox เพื่อดูว่าโปรแกรมนี้มีไฟล์อะไรบ้าง ซึ่งก็พบอีกว่ามีไฟล์ที่ชื่อ bdutil.exe เหมือนกับที่มีอยู่ใน Baidu Browser แต่ขนาดเล็กกว่า...
*ถึงตรงนี้ ถ้ายังไม่ชัดอีกก็ไม่รู้จะว่าไงแล้ว...
เพิ่มเติม ทิ้งทวน: รายละเอียดไฟล์ต่างๆ จาก Adware ที่พบและได้ทดลองติดตั้งใน Sandbox
ปล. ทั้งหมดเป็นข้อสันนิษฐานส่วนตัวล้วนๆ ครับ หากกระทบต่อบริษัทที่ถูกพาดพิง หรือสิ่งที่ผมเขียนในกระทู้นี้ไม่เป็นความจริง ก็ต้องขออภัยด้วยครับ...
ของแถมจาก Freeware ทุกวันนี้ ไม่เห็นแถม Baidu แล้วก็จริง... แต่ Baidu ยังไม่ตาย และกำลังกลายพันธุ์!!
Edit: แก้ไขข้อมูลเล็กน้อยในส่วนที่บอกว่า Scan ไฟล์ใน VirusTotal ครับ
เมื่อวานนี้ ระหว่างที่ผมทดสอบ Baidu Browser ในสภาวะที่ปลอดภัยที่สุด (โดยการลบตัว Process อื่นๆ ที่ไม่เกี่ยวข้องกับตัวโปรแกรมหลัก) เมื่อผมได้อัพเกรดตัว Browser จาก 40.17 เป็น 43.18 นั้น ก็ได้พบความผิดปกติบางอย่าง ก่อนที่จะ Copy ตัวโปรแกรมออกจาก Sandbox ผมจึงไล่ทดสอบลงโปรแกรม Baidu Browser ใน Sandbox ใหม่ทั้งสองเวอร์ชั่น แล้วพบว่า...
จากรูป
1. มี 1 ไฟล์ที่เป็น Process ได้หายไป นั่นคือ bdtray.exe ซึ่งตัวนี้จะเป็นโปรแกรม BitTorrent ที่ไว้ใช้คู่กับ Browser การหายไปของไฟล์นี้ ทำให้นับจาก Version 43.18 เป็นต้นไป Browser ตัวนี้จะไม่มี BitTorrent ในตัวอีกต่อไปแล้ว...
2. มี 1 ไฟล์ที่เป็น Process ได้เพิ่มขึ้นมา นั่นก็คือ CloudOPTClient.exe ซึ่งในข้อมูลของไฟล์ระบุว่าเป็นไฟล์ "PC Faster Cloud OPT" ซึ่งก็ไม่รู้เหมือนกันว่าเอาไว้ทำอะไร เลยลองเอาไป Scan ใน VirusTotal ดู...
โดยผลจากการ Scan ไฟล์ในข้อ 2 ปรากฏว่าเว็บ VirusTotal ตรวจพบว่าไฟล์นี้ถูกสร้างขึ้นจากโปรแกรม Adware ตัวหนึ่ง (ดูที่หัวข้อ CarbonBlack ในแถบ Relationships) ซึ่งก็พบว่าเป็นตัว Adware ที่ชื่อว่า The Desktop Weather ซึ่ง ณ ขณะนี้ เป็นโปรแกรมตัวเดียวกับที่ SourceForge, OpenCandy, Better Installer รวมถึง Freeware ต่างๆ กำลังแถมอยู่...
ข้อมูลของ Adware ตัวดังกล่าว
[Spoil] คลิกเพื่อดูข้อความที่ซ่อนไว้
*รูปโปรแกรม Weather Tool จาก SoftPedia
ทีแรกผมก็ไม่กล้าฟันธงหรอกครับว่าโปรแกรมเหล่านี้มันไม่ใช่เครือญาติของ Baidu...
แต่เมื่อวานนี้ ถ้าผมไม่ไล่เช็คอย่างละเอียดก่อนทดสอบ Baidu Browser ก็ไม่มีทางได้รับรู้ถึงความจริงที่ปิดบังครับ...
สิ่งที่ผมเช็คได้ว่าโปรแกรมเหล่านี้เป็น Baidu จำแลงมา...
มีไฟล์บางไฟล์ใช้ชื่อเหมือนกัน Description เดียวกัน และบ่งชี้ว่ามาจากตัว PC Faster ซึ่งเป็นโปรแกรมหลักของ Baidu (ตัวทำมาหากินเลย)
*อย่าลืมกลับไปเช็ครูปที่มีไฟล์จาก Baidu Browser ด้วยนะครับ
แล้วผมก็ค้นพบ URL แปลกๆ ในโปรแกรมเหล่านี้ด้วยครับ จาก Config File ที่มีอยู่ใน Folder ของโปรแกรมนั้นๆ
พอได้ URL เหล่านี้มาก็ไม่รอช้า กดค้นหาใน Google เลย...
ใช้คำค้นว่า "tools1000.com" ไม่พบข้อมูลอื่นนอกจาก IP และ WhoIs
ใช้คำค้นว่า "toptools100.com" เจอหน้าเพจของโปรแกรม Catch Video (catchyoutube.toptools100.com)
ซึ่งหน้าเว็บของโปรแกรม Catch Video นั้นคุ้นหน้าคุ้นตามาก เหมือนเคยเห็นเว็บของโปรแกรมไหนทำมาก่อน เลยเอามาเทียบดู...
*ชัดเลยครับ... ก๊อปปี้แม่แบบกันมาเลย...
หลังจากนั้นผมก็ลองโหลดตัวติดตั้งโปรแกรมดูครับว่าไอคอนของโปรแกมนี้หน้าตาเป็นไง...
*แม้แต่ไอคอนกล่องก็เหมือนกันอีก แต่สียังไม่เหมือน!!
แล้วก็ลองติดตั้งโปรแกรมใน Sandbox เพื่อดูว่าโปรแกรมนี้มีไฟล์อะไรบ้าง ซึ่งก็พบอีกว่ามีไฟล์ที่ชื่อ bdutil.exe เหมือนกับที่มีอยู่ใน Baidu Browser แต่ขนาดเล็กกว่า...
*ถึงตรงนี้ ถ้ายังไม่ชัดอีกก็ไม่รู้จะว่าไงแล้ว...
เพิ่มเติม ทิ้งทวน: รายละเอียดไฟล์ต่างๆ จาก Adware ที่พบและได้ทดลองติดตั้งใน Sandbox
ปล. ทั้งหมดเป็นข้อสันนิษฐานส่วนตัวล้วนๆ ครับ หากกระทบต่อบริษัทที่ถูกพาดพิง หรือสิ่งที่ผมเขียนในกระทู้นี้ไม่เป็นความจริง ก็ต้องขออภัยด้วยครับ...