臉書推送廣告：可免費下載遊戲？別下載，可能是木馬！

如果你在臉書上面看到廣告，上面告訴你可以免費下載最新的馬利歐賽車（或其他遊戲），請小心，那很可能是木馬！萬一你安裝了，可以參考我移除此木馬的方法。

兩天前，我在逛臉書的時候，看到臉書推薦一則廣告，如上圖（你看到的廣告可能是別款遊戲）。由於我還蠻喜歡馬力歐賽車，而且我的手機目前還有安裝這款遊戲，所以就點進去看一下。點擊廣告連結之後，會開啟一個看似官方網站的頁面，上面還有倒數計時，告訴你限時免費下載，如下圖：

不得不說，這網頁做得還真像官方網站，有模有樣的，不是簡單掛一兩張圖片而已。網頁上還有遊戲介紹、未來即將發布的新款遊戲等等。如下圖：

由於我的 Windows 10 除了微軟本身內建的防護軟體，還另外裝了 Bitdefender 防毒軟體，所以覺得試試無妨，就點了下載，然後執行安裝程式。結果當然是目前安裝的防毒軟體都沒有辦法辨識這個木馬，否則我也就不會寫這篇文章了。

安裝程式執行後，會顯示一個視窗，告訴我目前正在下載遊戲所需的元件。但是安裝到一半就出現失敗的訊息，原因是網路中斷。於是我又安裝一次，但依然出現網路中斷而安裝失敗的訊息。如此反覆試了幾次，我就放棄了，不再嘗試安裝。

然而，過了一些時候，我從別的地方返回座位，卻聽到筆電的散熱風扇嗡嗡作響。根據以往的經驗，當我沒有用電腦做任何事情時，散熱風扇卻持續運轉，表示 CPU 異常忙碌。我立刻對先前下載的那個馬力歐賽車安裝程式起疑，於是打開工作管理員，果然看見 CPU 非常忙碌，其中還有一個不曾見過的程序，名稱是：Janma.exe，而且程式的 icon 是馬力歐的圖案。當時沒有截圖，後來我在某論壇的帖子找到別人的截圖：

我在 Windows 工作管理員中，把 Janma.exe 程序強制關閉。結果不到一分鐘，Janma.exe 又不知怎地執行起來。此時，我幾乎可以肯定它是木馬程式了。

於是，我從工作管理員開啟 Janma.exe 所在的資料夾，直接用檔案總管刪除這個檔案，總行了吧？！Noooo.....

即使刪除了 Janma.exe，不到兩分鐘，我又從工作管理員裡面看到它，而此時那個新的 Janma.exe 檔案的位置卻是另一個資料夾。這表示背後有一個程式，會不斷地自動產生 Janma.exe，而且每次產生檔案的位置不同。

我用關鍵字搜了一下 Google，結果發現有一個臉書帖子提到，要把 Janma.exe 和 dcdm.exe 都刪掉：

然而，木馬程式自動再生的速度實在太快了，得先把它堵住。於是，我透過 Google 搜尋得知，有一款叫做 Comodo Firewall 的防毒軟體能夠偵測到這個木馬程式。安裝了Comodo Firewall 免費版之後，執行掃描，果然它提示我：janma.exe 不斷嘗試存取 COM 介面，並且提供了阻擋（block）選項。我選擇阻擋該程式，然後把網路斷掉，重開機。重開機之後，搜尋硬碟裡面所有的 janma.exe，並且連同 dcdm.exe 也全部刪除掉。然後，我的 Windows 系統便恢復正常了。

之後的兩天，我在臉書上面都還持續看到類似的廣告。不一定是馬力歐賽車，例如底下這張圖，是我寫這篇文章時看到的廣告：

無論內容是哪款遊戲，目的都是為了讓使用者下載並安裝他們的木馬程式。我只要看到這類廣告，就會跟臉書檢舉。如果你也看到這類廣告，除了不要去下載安裝，希望也順便向臉書檢舉該廣告，一起消滅這些包藏禍心的東西。