[Baidu ยังไม่ตาย ภาค 2] เหมือนจะเข้าขั้นโคม่า แต่ข้ากลับมาแล้ว พร้อมสหายอีกหนึ่ง!

สวัสดีครับ หลังจากห่างหายไป 9 ปี เอ้ย 3 เดือน นับจากครั้งก่อนที่ผมเคยเปิดเผยว่า Baidu Browser เตรียมยัดไส้ Adware ตัวใหม่...
วันนี้ ผมได้ค้นพบมากกว่านั้นครับ มากกว่าการค้นพบความเปลี่ยนแปลงใน Baidu Browser เพราะยังมีความเปลี่ยนแปลงเพิ่มเติมจากเว็บท่า(ที่สุด)ยอด(แห่งการยัดเยียด)นิยมอย่างเว็บ Hao123 ด้วย...
และมีความคืบหน้าในความพยายามแพร่เชื้อ The Desktop Weather อีกระลอก ในหลายๆ ช่องทาง...

------------------------------------------------------------------------------------------

เข้าเรื่องก่อนเลยครับ เรื่องแรก ขอเริ่มที่ Baidu Browser กับเว็บ Hao123 นี่แหละครับ...

หลังจากที่มีอัพเดทเวอร์ชั่น 43.20.1000.205 แน่นอนครับ ฟังค์ชั่น BitTorrent ได้หายสาปสูญไปอย่างถาวรแล้ว...
และแน่นอนยิ่งกว่านั้น... CloudOPTClient ก็ยังตามมาหลอกหลอนคุณต่อไป...
[Spoil] คลิกเพื่อดูข้อความที่ซ่อนไว้
แต่ยังไม่จบเท่านั้นครับ... เวอร์ชั่นนี้ยังมีอย่างอื่นเพิ่มเข้ามาอีก...
โดยมันมีชื่อว่า MustangDeals ครับ...
มันเป็นส่วนเสริมของ Browser ที่พรีโหลดมาให้ เหมือนกับคุณโหลด Google Chrome แล้วมีแอปฯ พื้นฐานอย่าง Google Docs ซึ่งหากคุณทำการอัพเกรด Baidu Browser ถึงเวอร์ชั่นนี้ คุณจะเจอมันแน่นอนครับ...
[Spoil] คลิกเพื่อดูข้อความที่ซ่อนไว้

มันทำอะไรได้บ้าง...?
ผมเข้าใจว่ามันเป็นส่วนเสริมที่จะยิง Traffic เข้ามาใน Browser เพื่อแสดง Popup โฆษณาครับ...

รูปตัวอย่างจากเว็บ Malware Research: http://malwareresearch.org/mustangdeals

แต่ก็ไม่รู้เหมือนกันว่ามันจะขึ้นมาตอนไหนบ้าง (เพราะลองเปิดหลายรอบแล้ว แต่ไม่เจอ) รู้แต่ว่ามันเกาะคุณได้ตลอดเวลาในทุกเว็บที่คุณเข้าผ่าน Browser ตัวนี้ครับ จนกว่าคุณจะปิดมัน หรือถอนออก... แต่คงช่วยไม่ได้มาก ถ้าคุณไม่ตามไปลบไฟล์ MustangDeals.crx ในโฟลเดอร์ของโปรแกรมออก มันก็ติดตั้งส่วนเสริมนี้ให้ใหม่อยู่ดี...
อันนี้เป็นรูประหว่างการทดสอบ โดยการเข้าเว็บพื้นฐานอย่าง Google / Facebook / Youtube ระหว่าง Chromium ธรรมดา กับ Baidu Browser ซึ่งทั้งสองตัวมีการติดตั้ง uMatrix เพื่อดู Host Connections ครับ...
รูปบนจาก Chromium | รูปล่างจาก Baidu
Google
[Spoil] คลิกเพื่อดูข้อความที่ซ่อนไว้
Facebook
[Spoil] คลิกเพื่อดูข้อความที่ซ่อนไว้
Youtube
[Spoil] คลิกเพื่อดูข้อความที่ซ่อนไว้
จะเห็นได้ว่ามีการเชื่อมต่อไปยังเว็บแปลกๆ เพิ่มขึ้นมา ซึ่งถ้าหากเราเข้าเว็บตามปกติแล้ว มันไม่ควรจะมีการเชื่อมต่อไปยัง Host เหล่านั้นด้วยซ้ำ...
ใช่ครับ... เว็บ foxi69.tlscdn.com กับ i_rafimjs_info.tlscdn.com มันติดตามคุณทุกหน้าที่คุณเข้าเลยครับ... ในขณะที่ใน Chromium ไม่ปรากฏว่ามีการเชื่อมต่อไปยังเว็บนั้นเลย เพราะไม่ได้ติดตั้งส่วนเสริมตัวนั้น...

ยังครับ ยังมีอีกเรื่องหนึ่งที่ผมจะบอก ซึ่งมันจะเชื่อมโยงกับความเปลี่ยนแปลงของเว็บ Hao123 และนำไปสู่มือมืดอีกมือหนึ่งด้วย...
โดยก่อนหน้านี้ ผมบล็อกไม่ให้ Baidu Browser ดึงการตั้งค่าเองไว้ แล้วผมลองกดใช้ Baidu ค้นหาดู...
ปรากฏว่ามันไม่ทำการค้นหา แต่มันเด้งไปหน้าเว็บ Hao123 เลย...

ซึ่งเดิมที เว็บ Hao123 ไทย มันจะมีช่อง Search Engine ให้เราพิมพ์แล้วค้นหาข้อมูลใชไหมครับ? ซึ่งแน่นอนว่าถ้าเป็นเมื่อก่อน โลโก้จะเป็นคำว่า "ค้นหา" และใช้ Baidu เป็นหน้าค้นหา เหมือนในหน้า New Tab...

แต่ปัจจุบัน โลโก้ของ Search Engine เปลี่ยนเป็นคำว่า "Search" (ภาษาอังกฤษ)

ผมได้ลองพิมพ์ค้นหาข้อมูลดู ก็ได้ผลลัพธ์ดังนี้ครับ...
[Spoil] คลิกเพื่อดูข้อความที่ซ่อนไว้
ใช่ครับ... มันเข้าที่เว็บ Rafotech Search ก่อน แล้ว Redirect มายัง Govome ซึ่งเป็นเว็บปลายทาง...
และยังพบอีกว่าเว็บ Hao123 ในหลายๆ ภาษา ก็ใช้ Search Engine ตัวนี้ในหน้าหลักเหมือนกัน...
ยกเว้นของบางประเทศ ที่ใช้ของเจ้าอื่น เช่น...
ของจีน ใช้ Baidu ที่เป็นของตัวเองอยู่แล้ว
[Spoil] คลิกเพื่อดูข้อความที่ซ่อนไว้
ญี่ปุ่น ใช้ Yahoo เป็นฐานข้อมูล
[Spoil] คลิกเพื่อดูข้อความที่ซ่อนไว้
อาหรับเอมิเรตส์ ยังใช้ Google อยู่
[Spoil] คลิกเพื่อดูข้อความที่ซ่อนไว้

กลับมาที่ Baidu Browser อีกครั้ง... ทีนี้ผมจะตั้งให้ต่อ Proxy แล้วปล่อยให้ Baidu ดึงการตั้งค่ามา...
นี่คือความแตกต่างครับ... บนคือก่อน ล่างคือหลัง...
[Spoil] คลิกเพื่อดูข้อความที่ซ่อนไว้
จะเห็นว่าพอมันโหลดการตั้งค่าเสร็จแล้ว ปรากฏว่ามีการเปลี่ยนเว็บแนะนำแถวล่างสุด แถมยังมีการ Pin เพื่อล็อกเอาไว้ด้วย! (ต้องถอน Pin ออกก่อน ถึงจะลบออกได้)
และถ้าหากเปิดใช้ Browser ในครั้งต่อไป จะทำการเปิดหน้าเว็บ hao123 ก่อนเป็นเว็บแรกแน่นอน...
แต่มีอีกอย่างหนึ่งที่เปลี่ยนไปด้วยครับ... สังเกตตรงมุมขวาบน ตรงช่อง Search Engine จากไอคอนตีนหมาที่บ่งบอกว่าเป็นของ Baidu ตอนนี้ถูกเปลี่ยนเป็นไอคอนรูปตัว S ในสี่เหลี่ยมพื้นหลังสีเขียวแล้วครับ พอเอาเม้าส์ไปชี้ มันขึ้นข้อความว่า...
IDS_SEARCH_LOGO_TOOLTIP_RAFOTECH
...Rafotech อีกแล้วเหรอ...?
เลยลองพิมพ์ค้นหาข้อมูลดูครับ ได้ผลลัพธ์แบบเดียวกับค้นจากเว็บ Hao123 แต่ว่าเปลี่ยนเว็บปลายทางเป็น MyStart DealWifi แทน...


------------------------------------------------------------------------------------------

Rafotech ทายาทใหม่ของ Baidu...?

แน่นอนครับ เมื่อรู้เบาะแสแล้ว ก็เลยเอาชื่อเว็บพวกนี้ไปค้นหาใน Google ดู... ซึ่งได้ผลลัพธ์มาประมาณนี้...
เว็บ MyStart DealWifi กับ Govome ผลการค้นหามักมีแต่เว็บบอกวิธีกำจัด...



ค้นคำว่า DealWifi ขึ้นมาเป็นเว็บโหลดโปรแกรมเลย... แต่ก็มีเว็บบอกวิธีกำจัดด้วย ตามลำดับ...

*อันดับที่หลุดจอ มีมาจากเว็บ Softonic ด้วยนะ...
พิเศษ!
[Spoil] คลิกเพื่อดูข้อความที่ซ่อนไว้
ภูมิใจนำเสนอกันเลยทีเดียว...

ค้นคำว่า Rafotech เจอ Mustang Browser...
คุ้นไหมครับ กับคำว่า Mustang...? (ไม่ใช่ยี่ห้อรถหรูนะครับ)


------------------------------------------------------------------------------------------

[Spoil] คลิกเพื่อดูข้อความที่ซ่อนไว้

------------------------------------------------------------------------------------------

สุดท้าย กับเรื่องของ The Desktop Weather กับความพยายามในการแทรกซึมระลอกใหม่...

โดยก่อนหน้านี้ จากกระทู้ Baidu ยังไม่ตาย ภาคแรก เราได้รับรู้ว่ามันมีการแถม Adware ตัวนี้ผ่านทาง SourceForge, KMPlayer และโปรแกรมที่ใช้เครือข่าย Pay-per-install ของ Somoto BetterInstaller ล่าสุดเริ่มมีการงัดกลยุทธ์เดิมที่เคยใช้ อาละวาดในพาร์ทเนอร์โฆษณาตัวสำคัญอย่าง OpenCandy ซึ่งพาร์ทเนอร์เจ้านี้เป็นที่นิยมในหมู่ Shareware มาก...
ตัวอย่างจากการติดตั้งโปรแกรม Freemake...

และล่าสุด ผมไปอัพเกรดโปรแกรม FormatFactory ให้ญาติ แล้วเจอว่ามันเสนอหน้ามาให้เห็นหลังจากติดตั้งโปรแกรมหลักเสร็จเรียบร้อยครับ...

สยองเกล้าเลย...เม่าตาสว่าง

------------------------------------------------------------------------------------------

สุดท้ายนี้... ขอให้ทุกคน... โชคดี ไม่มีไป่ตู้! สวัสดีครับ /|\
แก้ไขข้อความเมื่อ
แสดงความคิดเห็น
โปรดศึกษาและยอมรับนโยบายข้อมูลส่วนบุคคลก่อนเริ่มใช้งาน อ่านเพิ่มเติมได้ที่นี่