如果你在臉書上面看到廣告,上面告訴你可以免費下載最新的馬利歐賽車(或其他遊戲),請小心,那很可能是木馬!萬一你安裝了,可以參考我移除此木馬的方法。
兩天前,我在逛臉書的時候,看到臉書推薦一則廣告,如上圖(你看到的廣告可能是別款遊戲)。由於我還蠻喜歡馬力歐賽車,而且我的手機目前還有安裝這款遊戲,所以就點進去看一下。點擊廣告連結之後,會開啟一個看似官方網站的頁面,上面還有倒數計時,告訴你限時免費下載,如下圖:
由於我的 Windows 10 除了微軟本身內建的防護軟體,還另外裝了 Bitdefender 防毒軟體,所以覺得試試無妨,就點了下載,然後執行安裝程式。結果當然是目前安裝的防毒軟體都沒有辦法辨識這個木馬,否則我也就不會寫這篇文章了。
撰寫此文時,能偵測到此木馬的防毒軟體並不多。Comodo Firewall 是其中一個能夠提供警示的防毒軟體,稍後會提到。
安裝程式執行後,會顯示一個視窗,告訴我目前正在下載遊戲所需的元件。但是安裝到一半就出現失敗的訊息,原因是網路中斷。於是我又安裝一次,但依然出現網路中斷而安裝失敗的訊息。如此反覆試了幾次,我就放棄了,不再嘗試安裝。
然而,過了一些時候,我從別的地方返回座位,卻聽到筆電的散熱風扇嗡嗡作響。根據以往的經驗,當我沒有用電腦做任何事情時,散熱風扇卻持續運轉,表示 CPU 異常忙碌。我立刻對先前下載的那個馬力歐賽車安裝程式起疑,於是打開工作管理員,果然看見 CPU 非常忙碌,其中還有一個不曾見過的程序,名稱是:Janma.exe,而且程式的 icon 是馬力歐的圖案。當時沒有截圖,後來我在某論壇的帖子找到別人的截圖:
以下過程,都沒有截圖,因為是事後才寫這篇文章。
我在 Windows 工作管理員中,把 Janma.exe 程序強制關閉。結果不到一分鐘,Janma.exe 又不知怎地執行起來。此時,我幾乎可以肯定它是木馬程式了。
於是,我從工作管理員開啟 Janma.exe 所在的資料夾,直接用檔案總管刪除這個檔案,總行了吧?!Noooo.....
即使刪除了 Janma.exe,不到兩分鐘,我又從工作管理員裡面看到它,而此時那個新的 Janma.exe 檔案的位置卻是另一個資料夾。這表示背後有一個程式,會不斷地自動產生 Janma.exe,而且每次產生檔案的位置不同。
我用關鍵字搜了一下 Google,結果發現有一個臉書帖子提到,要把 Janma.exe 和 dcdm.exe 都刪掉:
然而,木馬程式自動再生的速度實在太快了,得先把它堵住。於是,我透過 Google 搜尋得知,有一款叫做 Comodo Firewall 的防毒軟體能夠偵測到這個木馬程式。安裝了Comodo Firewall 免費版之後,執行掃描,果然它提示我:janma.exe 不斷嘗試存取 COM 介面,並且提供了阻擋(block)選項。我選擇阻擋該程式,然後把網路斷掉,重開機。重開機之後,搜尋硬碟裡面所有的 janma.exe,並且連同 dcdm.exe 也全部刪除掉。然後,我的 Windows 系統便恢復正常了。
之後的兩天,我在臉書上面都還持續看到類似的廣告。不一定是馬力歐賽車,例如底下這張圖,是我寫這篇文章時看到的廣告:
無論內容是哪款遊戲,目的都是為了讓使用者下載並安裝他們的木馬程式。我只要看到這類廣告,就會跟臉書檢舉。如果你也看到這類廣告,除了不要去下載安裝,希望也順便向臉書檢舉該廣告,一起消滅這些包藏禍心的東西。
感想:
- 網路很危險,到處都是釣魚網站,而且還做得很像官方網站。不妨測試一下,你覺得這個網站是 beats 耳機的官方網站嗎:http://www.new-beats.com.tw/。
- 即使有安裝防毒軟體,也要隨時保持戒心,多方查證。不明來路的程式或檔案,還是別開啟。
