一個彈出窗口引發一場追蹤

“看一下淘寶”，我讓妻子點開了旺旺，最近除了隔段時間到淘寶整理一下倉庫寶貝，平時我已經很少打開旺旺了。

旺旺的界面仍然顯示“正在登錄”，屏幕卻閃動了一下，出現了一個新的瀏覽器窗口，內容……好像是一個汽車交易類網站“網上車市”，我想也許是旺旺做的廣告吧，對于它我并不怎么在意。家里的書房，在7月的夏天溫度并不低，于是再熱愛電腦的我也不太情愿一直呆在那里，倒是妻子堅持上網看一些港臺的電視劇。

“真煩人，又是這個廣告，我說咱家機子是不是中毒了?”妻子隨口說到，顯然她指的是那個車市網站(圖1)。

“為什么要說又呢?”妻子的話引起了我的注意，從妻子隨后描述的現象，我大致可以判斷這個“網上車市”的廣告窗口經常伴隨阿里旺旺出現，通常它同一天只出現1、2次，似乎很有規律。阿里旺旺會做這樣的廣告嗎?我保持懷疑;我的系統中病毒了嗎?作為妻子眼里的電腦高手，我總得給出一個合理的解釋吧，而我也很想知道事實的真相……

于是，一場圍繞異常彈出窗口的追蹤就此展開……

意外發現一號嫌疑人

一號嫌疑人：網絡運營商

線索：支付寶客服的答復

憑經驗，一般這種彈出窗口，要么是惡意病毒引起的，要么是網站或軟件自身彈出的廣告。該從哪里著手呢?看看時間也不早了，我決定還是先收集一些有價值的信息吧，為第二天的詳細排查做一些準備工作。

我又打開淘寶網站，在旺旺相關的網站及客服論壇中瀏覽。從論壇中發現，遭遇這個彈出廣告的并非我一個人，而且很多用戶的說法都不相同，直覺告訴我這種現象也許并不是像我之前想象的那么簡單。

正當我滿論壇第搜集信息的時候，一個帖子讓我眼前一亮。一位網友發帖問“為什么登錄支付寶會出現一個網上車市的廣告……”，一個自稱支付寶客服的用戶回復“這不是由支付寶彈出的，是當地網絡運營商的彈出廣告”。

一號嫌疑人矢口否認

一號嫌疑人排查手段：電話

沒想到自己僅僅是想收集一些信息，卻發現了嫌疑人的線索，這也太容易了吧，太讓人沒有成就感了，不過今晚的工作也算是沒有白做，可以安心睡覺了，明天早上打電話確認一下就可以了。

第二天我早早起床，一到上班時間就撥通了河南焦作市網通客服10060，以下是當時的對話。

我：“你好，我上阿里旺旺時總是會彈出一個網上車市的網站。”

客服：“你好，請檢查你的系統是否感染病毒，請升級你的殺毒軟件病毒庫進行系統檢測。”

我：“檢查了，確認沒病毒。你們網通是不是插入廣告了?”

客服：“我們決不會修改用戶上網資料插入廣告。”

看來線索越是容易得到，越是不可靠，暫時可以排除一號嫌疑人了。

將目光投向二號嫌疑人

二號嫌疑人：惡意病毒

線索：病毒會在中毒系統中彈出廣告窗口以提升網站流量

淘寶說不是自己的問題，網絡運營商又在第一時間否認了這個行為，那會不會是出現了以推廣這個網站為目的的惡意病毒呢?惡意病毒被我列為了二號嫌疑人。

一般來說，以惡意推廣網站為目的的病毒，會在中毒系統中頻繁地彈出廣告窗口，以達到提升網站流量的目的，而這個旺旺彈出的窗口卻有類似的計數器特征，它保持在每天1、2次的頻率，給人的感覺是不想引起用戶的反感，看起來似乎又不像是病毒或者木馬的行為。不過我還是動用了各種工具來查找系統中的惡意程序，檢查IE的加載項，而檢查的結果是：我的系統很正常。

二號嫌疑人徹底洗清嫌疑

二號嫌疑人排查手段：搭建干凈環境

盡管能初步排除惡意病毒的嫌疑，但為了慎重起見，我還想做進一步的排除。

為了進一步證實我的判斷，我建立了三個純凈的系統環境。

A環境：安裝原版XP SP2專業版，通過官方自動更新到當日，防毒軟件選擇McAFee企業版，并設置了嚴格的規則。

B環境：安裝正版授權的WindowsServer2008 RC0簡體企業版，啟用高級安全防火墻規則，防毒選擇NOD32簡體版，并更新至最新病毒庫。

C環境：安裝Ubuntu7.10版，默認使用Firefox瀏覽器。

幾天測試下來，結果A、B、C都出現了異常的網絡廣告窗口，確認排除二號嫌疑人。