Chrome 开机第一次启动首页被篡改的修复

我司某电脑启动 Chrome 后自动跳转到 2345.com,发现一层套一层好多阴谋。

被篡改的首页

公司的电脑,每次开机之后打开 Google Chrome 都会自动进入2345.com,关闭窗口并重新打开之后即恢复正常。而且我怀疑第一次启动的时候,个人配置文件是和之后正常启动时的配置文件并非同一个。
整个现象是,第一次启动 Google Chrome 的时候会进入http://123.3fwork.com/hi/?f=a1&ear2(为防止意外给其赚钱,我不会给你机会直接点击的),之后自动跳转到https://www.2345.com/?kxxxxxxx,该跳转之后的网址包含了我司名称xxxxxxx,很可能是我司与其合作的引流推广,因此深感其中的水深。

篡改的过程

开机之后监测进程,打开 Chrome 之后,发现 Chrome 首先正常于explorer.exe进程树下启动(一般地,当用户通过双击图标等方式启动一个程序时,该程序的进程就挂在explorer.exe的进程树下),之后被 kill 并进入名为ttiru.exe的进程之下。查看该ttiru.exe进程,发现这是一种名叫「天天百宝箱」的流氓软件。

倒也没有仔细研究其篡改首页的具体途径,猜测就是随系统启动之后开始监听 Chrome 的进程,一旦发现,则将其 kill 并通过自己的进程重新打开一个 Chrome 且在打开时指定网址为http://123.3fwork.com/hi/?f=a1&ear2。至于怎么指定网址,方式之一,你可以试试新建一个类似于"C:\Program Files\Google\Chrome\Application\chrome.exe" http://www.baidu.com的快捷方式,打开即可直接跳转到百度。

修复这个问题

修复的过程非常逗。通过进程管理器可以很方便地定位到该程序的安装目录,里面也很友善地有一个名为uninstall.exe的程序,双击打开,提示可以删除但是最好给一个管理员权限。于是我给了管理员权限又打开了一次,这次提示成功卸载,但是需要重启才可以卸载干净。然而我看到那些文件都还在嘛,根本就没有想卸载的意思。
于是我跟着提示重启了计算机,果然,它仍然完好无损,并未卸载,也就是自带的这个卸载程序并没有用处。
那,直接删掉程序文件夹呗。第一步,在进程管理器中手动 kill 相关进程(有两个,因为我这边已经删掉但是没有截图,所以不记得名字了);第二步,删除「天天百宝箱」的文件夹。就这样,很方便。

天天百宝箱

我查了一下这个天天百宝箱,倒也有个正儿八经的官网 3fwork.com/ttbox ,这是一个「包含了日历,国历与农历的对应显示,计划编辑与提示等功能的实用软件」。甚至该软件还有一种「永久版」,要花33元购买。
据不可靠的推测,该软件发布于2012年,并且似乎至今还在不断更新,不知是真的在更新,还是一种设计出来的假象。

开发百宝箱的这家公司

这个「天天百宝箱」是一家网址为3fwork.com的公司所开发。我记得在进程列表中看到,两个进程所对应的开发者名称还是不一样的,但都是3f的谐音。
一时好奇,去 archive.org 看了一下这家公司的网站,公司自成立以来,Logo换了几十个,名称先后为「三峰」(三峰工作室、三峰网、三峰软件)、「三傅」、「三凡」、「三丰」、「三沣」。
这家公司曾想用「科技服务生活」,也想「打造通用软件新天地」,还放过「好热女神脱光了!节操哟」「紧身超短包臀裙极品露背MM」这样的内容。查了一下这个域名,注册于2005年,已经11年了。

意外发现URL劫持

让多个朋友打开了一下http://123.3fwork.com/hi/?f=a1&ear2,都是跳转到https://hao.360.cn/?src=lm&ls=n6d4448049f,而我则是到达了https://www.2345.com/?kxxxxxxx(其中xxxxxxx是我司英文名称)。尝试直接打开hao.360.cn,也是跳转到2345.com,确定是我司对360导航进行了劫持。颇有种「螳螂捕蝉,黄雀在后」的味道。
看了一下通讯数据包,这是一种非常经典非常粗暴的 URL 劫持方式,当收到hao.360.cn的请求时,ISP 直接返回一个302 Object Moved应答:

解决方法么,使用 HTTPS(https://hao.360.cn) 就可以了,但是如果并非由天天百宝箱这种流氓软件所致,可能我一直都不会发现我司对360导航进行了劫持。毕竟,一般也不会去用360导航吧……

此外,多年前流行的一个神器,叫做 DNSCrypty 可以完美修复该问题。同时,该神器还可以修复其他内网和 ISP 导致的 DNS 污染等问题,非常好用。

和我司的关系

至于背后的利益关系,到底是中国电信(我司用的是中国电信的网络服务)私自加的劫持,URL 中我司名称只是其内部用于标记,还是我司方面的主动勾搭,这就不得而知了。