3721是由奇虎公司董事长,360安全卫士创始人周鸿祎创办的。作为一种可自动安装、普及率极广的网络程序,一直以来争议颇多,并且最终以1.2亿美元卖给雅虎。
3721意思是不管三七二十一。3721,这个公司靠一个网络小插件—网络实名发了大财,成为中国中文上网市场的老大。 [1]
3721是一系列由中国北京3721科技有限公司编写的软件,因其有大量恶意行为,被认为是电脑病毒、恶意软件或流氓软件,包括了以下几个软件:网络实名、上网助手(又名:“雅虎助手”或“3721上网助手”)、搜索助手。 这些软件外表上属于Internet Explorer浏览器的插件,但其实在背后会监视安装者的上网习惯。加上它们经常与其他软件一起捆绑安装,而且难以完全卸载,因此,这些软件被普遍认为是间谍程序(Spyware):例如在Windows Defender中,雅虎助手即被认为是“Cnsmin”间谍软件。这主要是因为这些软件的主程序,其实都放在一个名为“cnsmin.dll”的文件中。
3721公司从1998年成立至今,一直专注于中文上网服务,是中文上网服务的开创者和行业领导者。作为一个拥有数千万用户的互联网基础服务提供商,3721公司正在全力推动中国互联网的中文化和本地化。
3721公司提供的中文上网服务――3721“网络实名”,是第三代中文上网方式,用户无需记忆复杂的域名,直接在浏览器地址栏中输入中文名字,就能直达企业网站或者找到企业、产品信息。目前3721网络实名覆盖了90%以上的中国互联网用户,每日使用量超过3000万人次,是使用量最大的中文上网方式,也是中国互联网用户最喜爱的网络服务之一。
企业将自己的公司名、产品名注册为3721网络实名,客户输入自己的名字就可以直达自己的网站,为企业带来更多的商业机会。同时,3721网络实名统一企业网上网下名称,把企业品牌、字号等网下的知名度和影响力扩大到网上,在保护品牌资源的同时,成为企业的网上招牌。现在,已经有超过30万家的企事业单位注册了3721网络实名,注册3721网络实名已经成为企业上网的第一步。
目前3721公司在华东、华南、华中、西北、西南设有分支机构,业务遍及中国内地所有县级以上城市,及中国香港、中国台湾、中国澳门,拥有近4000家的渠道合作伙伴。
3721的国际化进程也在蓬勃发展,迄今为止,网络实名的业务已发展到日本、东南亚等国家和地区,并与多个世界级IT公司结成战略合作伙伴关系。
2001年10月,3721公司率先在中国互联网企业中宣布盈利。[1]
2003年,雅虎看中了3721手中的中小企业资源,毅然花1.2亿美元收购3721香港。并把3721总裁周鸿祎聘为雅虎中国总裁,并借助3721的技术和资源,开始进入中国巨大的搜索市场。
3721曾是过去最上镜公司,不单在于其被雅虎收购,还在于其背负的数场官司和不断的产品投诉。但不管是输了官司还是广大网民对其产品品质的大讨论,都对其未来发展制造了麻烦。
2009年1月4日,3721网站已无法访问,并由雅虎中国公关总监王彤证实,雅虎中国已放弃发展3721和雅虎助手的业务发展。意味着3721已“寿终正寝”。
图 1 Windows XP SP2的安全机制给3721的安装带来不便1、安装推广由“反复提示”式为主转向为以捆绑为主
自从Windows XP SP2推出加强的安全特性后,以前频繁出现的3721安装提示被进行了有效抑制(图1),因此其推广安装方式除传统的通过浏览器植入安装、直接下载安装外,又开拓了在某些共享软件和免费软件中捆绑的方式进行安装(图2)。新的捆绑安装方式,虽然有安装选项,但对于习惯了“一路回车法”安装软件的用户,被顺手装入系统的可能性极大!
图 2 通过免费或共享软件的捆绑并默认安装2、“一拖三”的安装方式,偷偷植入另外模块
如果被安装上上网助手,则实际上同时被植入系统的并非上网助手一个程序,而是同时另外被静默地植入了“地址栏搜索”和“搜索助手”这两套独立的程序(图3)。
卸载上网助手时,额外植入的两套程序不会被卸载;卸载每一套程序时,卸载对话框中都添加保留另外模块的选项,以实现非刻意卸载情况下的自我交叉修复。
3、完善的自我保护机制
图 3 添加或删除程序一,从安装、保护、卸载、修复几个环节来看,各个环节环环相扣(图4),任何一环没有正确处理,则就无法实现表面的干净卸载(真正彻底卸载除非手工清理,否则无法实现完全卸载)。
二,3721及上网助手提供的“贴心”服务提供剖析
号称提供各种贴心服务,其服务项目所标示的功能也非常的人。我们对其中几项进行了简单测试,看看3721到底提供的是一些什么性质、什么质量的“服务”。
4、黄毒横行触目惊心
安装3721中上网助手后,浏览器地址栏被无告知地植入20多项URL列表,其内容不外乎:性、娱乐、赚钱等几方面有关(图5)。
图 4 各个环节的保护机制环环相扣,清除不易从其强行植入的地址栏URL列表来看,安装了3721或上网助手的电脑就不折不扣地成了一台“少儿不宜”的电脑!
看看其强行植入的“美女如云——15亿图片心情体验”链接,随意点击几个链接,结果(如图6),什么“裸体”、“自拍”、“三级明星电影”、“诱惑放荡的少妇”、“宾馆偷房”、“无限激情”……等不堪入目的字眼扑面而来!
如果说具体的内容提供与其他合作方有关系,那么看看3721推荐的“美女如云——15亿图片心情体验”的主页面,什么“波霸”、“A片”的类别项目赫然在目。 再看看3721推荐提供的“极速宽频影院”。“性的日记”、“姐妹情色”、“村妓”、“偷情家族”等占据了内容目录的绝大部分,您能够从中找到哪怕一丁点健康、积极、向上的内容吗?!
这就是3721和上网助手提供的服务中的内容品味的冰山一角。
5、“网络钓鱼”炉火纯青
图 5 自动植入的浏览器浏览器地址栏URL列表除了上述明目张胆的色情(公开传播的内容中那些不是色情还有是色情?)宣传推广,其还采用了一种诱惑点击的网络钓鱼方法:以“免费电影”为幌子,播放器上覆盖广告,用户点击播放器时将触发对广告的点击。
此种诱惑点击的手段仅仅是一种方式。网络钓鱼:以一Flash广告与播放按钮重叠的方式,诱惑用户点击。这里设置不显示Flash以暴露其重叠的框架结构
6、贴心功能不贴心
图 10 弹出窗口过滤测试中惨不忍睹的过滤结果不少人看中了上网助手的弹出广告过滤功能。
用专业测试页面进行弹出窗口过滤测试。为避免干扰,先关闭Windows XP SP2本身的弹出窗口过滤功能。
测试结果,27项测试中,未能通过的有:第3 项、第6项(1、2)、第8项、第9项、第10项、第11项、第12项、第16项、第17项、第20项、第21项、第22项、第24项、第26项、第27项(1、2、3),共计未通过测试的有15项(18种),过滤失败的项目占整体的55%,失败的种类占整体的66%(图10)。即按百分制评判,上网助手的弹出窗口过滤能力连及格分都没有捞到!
而启用Windows XP SP2的弹出窗口过滤功能,或者使用Maxthon等具有弹出窗口过滤功能的第三方浏览器,同样的项目测试结果就截然不同!具体情况笔者暂不提供,大家可以自己测试对比一下,以便好好体会这位上网“助手”的能力!
7、“清理痕迹”清理了谁的痕迹?
上网助手的“清理痕迹”功能测试。执行清理并得到“当前没有网址记录!”的结果,但打开浏览器的历史侧边栏,结果如何? 上网助手自己的痕迹还在。
插件管理专家别有私心
8、插件管理专家别有私心
打开上网助手的插件管理专家,其中仅仅“虚心”地把搜索助手列了出来;但打开浏览器的加载项对话框,3721和上网助手植入的十几个加载项却赫然在目(图12)!别家的插件算插件,自己偷偷植入的众多玩艺一律不算插件。
9、把自己的右键菜单视为系统默认菜单
再看看“恢复IE外观”中的“清理IE右键菜单”功能。清理后,报告“没有可清理的菜单!” 但实际上,在浏览器中右击鼠标,“!搜一搜”的3721附加的菜单项已经如同系统默认菜单项那样被保存下来。令人不解的是,“!搜一搜”这种表达方式不知在中国语言学中算是一种什么手法?
10、自欺欺人的“清理IE工具条”
试试“清理IE工具条”的效果如何。清理后,报告“没有可清理的工具条!”,但IE工具栏上被3721自动植入的那个带有扫把图标的工具条和其他几个按钮好好的毫发无损(图14)。难道它自己的这些就不属于系统之外的第三方工具条吗?工具栏按钮清理也是如此。
11、不能重置3721植入的工具栏按钮
IE 工具栏“重置”功能不能重置3721植入的工具栏按钮。既然上网助手拒绝给我干活,那么就用IE本身的功能设置来恢复工具栏按钮吧。打开自定义工具栏对话框,点击“重置”,那些被强行植入的按钮闪动了一下,片刻又立即得到恢复。系统的基本功能在3721的作用下已经部分失效!
12、对系统稳定性的影响
在虚拟机环境下,直接在浏览器地址栏输入“合工大”进行搜索,前后测试6次,每次都是立即蓝屏。虽然虚拟机环境与真实环境可能有一些差异,但虚拟机对内存要求较高,系统资源占用较大,据此我们不能确定在真实系统环境也是如此,但起码可以确定,搜索助手对系统资源的分配肯定存在某种负面影响(或者是存在某种BUG),在对资源需求较大时,会对系统产生不利影响。
根据网络实名网站自称的“详细技术原理”,我们看看真实情况是否如网站上所告知的那样。其对用户告知的内容。在随后的检测项目中,我们看看它“详细”到什么程度,用户和知情权体现在什么地方。
1、向系统植入的文件
除了有专门的程序文件夹,3721还在Windows\Downloaded Program Files目录以隐藏的方式保存其文件以便快速修复;在系统驱动程序目录植入驱动程序文件并保证安全模式(即使你不上网!)也能够被加载并且不能被直接删除。
①安装3721后的文件植入情况:
Windows\Downloaded Program Files目录被植入37个文件1个文件夹;
Windows\System32\Drivers目录植入CnMinPK.sys驱动程序文件。
Program Files目录植入目录名为3721,共含15个文件和1个文件夹。
共计植入53个文件和2个子文件夹。
②安装上网助手后的文件植入情况:
Windows\Downloaded Program Files目录被植入30个文件1个文件夹;
Windows\System32\Drivers目录植入CnMinPK.sys驱动程序文件。
Program Files目录植入目录名为3721,共含79个文件和7个文件夹。
Program Files目录植入目录名为YDT,共含4个文件和1个文件夹。
共计植入114个文件和9个子文件夹。
2、写入的注册表项目
据安装前后的注册表导出比较后得出的不完全统计,系统注册表被写入的内容大致如下(因浏览网页等操作会导致动态修改,因此可能会有一些误差):
安装3721后,注册表中被写入122个键项、408个键值;
安装上网助手后,注册表中被写入251个键项、656个键值。
遗憾的是,按正确的方法卸载、重启后注册表项目仍然无法全部被清除!
3、多种途径实现的自动加载项
3721声明以标准系统接口实现自动加载,而且将这些标准接口利用得淋漓尽致!
⑴上网助手在注册表HLM下面的Run键项中添加helper.dll、YDTMain.exe、CnsMin三个自动加载模块,而且卸载、重启后仍然存在;
⑵通过驱动程序模式加载CnMinPK.sys模块,实现进程隐藏,并且通过系统本身的Msconfig无法检测;
⑶通过其多个模块之间的相互修复和守护实现,实现交叉安装、修复、加载;
⑷通过嵌入浏览器帮助对象,实现功能的自动加载;
⑸通过各模块卸载对话框中的修复选项,诱导用户在卸载某个模块的同时,修复和自动加载另一些模块;
⑹通过捆绑到某些第三方安装程序,在安装过程中实现自动安装和自动加载。
4、自我守护的进程
安装上网助手后,任务列表中会存在三个进程,其中以Rundll32.exe显示的两个进程可以实现自动交叉修复,即一个进程是另外一个进程的守护进程。因此,使用Windows任务管理器是无法顺利将它们从内存中关闭的,这点相信多数人深有体会!
5、植入系统的浏览器加载项
是上网助手自动植入系统中的8种浏览器加载项。用户的浏览器成为几大公司发财的财源基地。余下的就差没有拿着刀子上门直接抢钱了。
6、自动植入浏览器工具栏的多种无关按钮
安装后,浏览器上什么Yahoo!等乱七八糟的按钮一股脑儿给你安装上了,甚至连资源管理器也没有放过。
7、控制面板添加删除程序列表中的多余项目
在未被明确告知的情况下,安装上网助手后,控制面板的添加删除程序列表中会额外加入两个程序项目。
8、植入系统的系统服务表
使用IceSword这款安全工具检测系统服务描述表(SSDT),可以发现除Ntoskrnl.exe这个系统内核外,就是3721和上网助手的“CnsMinKP.sys”了。搞编程的人知道这做到了什么级别,普通网民反正“眼不见为净”。可见功夫真的下到了家了!
9、自动创建的线程情况
上网助手及其模块自动创建的线程数之多,在系统总体线程数的比例上是多得令人吃惊的!该图为未打开任何浏览器以及其他相关窗口情况下的线程创建情况(部分需滚动才能查看)。
10、后台运行的消息钩子
有兴趣的人可以看看图27中的钩子类型,看看3721利用的大量钩子函数在干些什么。
11、植入浏览器右键菜单的“搜一搜”菜单项
12、上网助手Assistse.exe打开本地1028端口
上网助手Assistse.exe打开本地UDP 1028端口,作用不明。
13、植入Internet选项设置
植入到Internet选项的“高级”设置的内容。还有“自动升级”功能[1]
有人在网卡撰文说3721现在可以通过其卸载程序干净地卸载了。事实情况真的是这样吗?
1、“完全删除”和“完全卸载”的卸载承诺
无论3721网络实名还是上网助手,在卸载程序中都承诺“把上网助手从电脑中完全删除”和“完全卸载实名插件并关闭实名功能”。
2、完全卸载不完全
网络实名卸载成功并重启后,在资源管理器中无法看到Windows\Downloaded Program Files文件夹中有任何文件(即使你将资源管理器设置为显示所有文件、显示系统文件)。但使用著名的Total Commander文件管理器,却发现有一个zsmod.dll的隐藏文件!如果是卸载上网助手,卸载成功并重启后,上述目录居然隐藏有30个文件1个文件夹
以zsmod.dll为关键字在注册表编辑器中搜索,可以发现这个文件并非是一个被“遗忘”的死文件,而是有相应的注册表键值
卸载上网助手成功并重启后,检测BHO(浏览器帮助对象),发现系统中仍然保留有YDT.DLL和CnsHook.dll这两个BHO对象
卸载上网助手成功并重启后,检测自动加载项目,发现仍然存在helper.dll、YDTMain.exe、CnsMin三个自动加载的程序项目再检测系统已经加载的内核模块,发现以驱动形式加载的CnsMinKP.sys仍然被成功加载!以CnsMinKP.sys在注册表编辑器中搜索,卸载成功并重启后注册表中仍然保留CnsMinKP.sys的3处隐藏服务键值,使得卸载操作完全是一个骗局,其基本功能根本没有受到影响,至多是那个一般情况下显示在系统托盘的可以向用户提供“服务”的小图标不见了!当然,系统Drivers目录中的CnsMinKP.sys文件依然完好,没有受到任何破坏!
看看系统进程如何。YDTMain.exe、相互守护的Rundll32.exe共3个进程仍然静静地在那儿!
由此可见,上述就是所谓的“把上网助手从电脑中完全删除”的真相!
真的想把它们彻底清除吗?可以,手工在添加删除程序列表中把另外未被告知的两个3721强行安装的程序一一卸载(卸载时注意看清楚相关选项!否则可能又相互修复),此时绝大多数文件和注册表被清除。但Windows\Downloaded Program Files文件夹中zsmod.dll的隐藏文件以及相关的注册表键值却永远不会被清除!
3721卸载重启后资源管理器无法看到的隐藏文件
上网助手卸载重启后系统目录中隐藏的大量文件(Windows资源管理器无法以任何方式查看到,Total Commander可显示)
3、额外安装的两个模块必须另行卸载
就是安装时未被明确告知就强行安装的、需要我们手工卸载的垃圾程序。
4、卸载过程中仍然试图交叉修复
卸载这些额外程序模块的过程中,存在默认被选中的以“卸载”二字开头的一个选项:
“卸载上网助手-地址栏搜索后保留上网助手等按钮”
如果你操作中只看了前面半句,以为是选择了“卸载”它们,那你就错了!
由此可见3721的对用户的心理和电脑使用习惯研究得非常透彻,能够利用的都充分利用了!
卸载过程中仍然试图交叉修复
5、3721综合行为的法律、道德剖析
1)3721及上网助手的道德层面剖析
什么“裸体”、“自拍”、“三级明星电影”、“诱惑放荡的少妇”、“宾馆偷房”、“无限激情”……等亵渎了广大网民的情趣品味;对青少年进行了极其不良的误导引诱;污染了网络环境。 未经明确告知,强行植入其他程序模块。 通过系统驱动的方式加载,安全模式亦无法避免。就连Windows都将带网络连接的安全模式作为一个单独的项目提供给用户,而3721则是青红皂白,不管用户是否使用网络,一律加载没商量!
2)3721及上网助手的法律层面剖析
额外安装程序侵犯知情权;
强行植入的少儿不宜的URL链接无视青少年权限保护;
宣传黄毒;
介绍黄毒;
卸载卸载过程中以欺骗的手段保留未经用户许可的模块,而且相互交叉修复;
自动感染、自动繁植、隐藏自身、占用系统资源、干扰用户上网活动、直接或间接向系统中带入不良数据、清除极其困难、通过多种途径自动加载……已经具有完整的病毒特征;
提供不良内容下载……
3)3721及上网助手对国家安全及文化导向的影响
由艰苦奋斗勤俭建国转向靡靡之音声色犬马的和平演变,只需借助3721;
瓦解民众斗志,只需3721;
占领中国的宣传阵地,只需利用3721;
主导中国的网络安全命脉,只需掌握3721;
转变中国网民的文化导向,只需借助3721;
对中国发动网络瘫痪战,只需通过3721!
2009年1月4日下午消息,中国雅虎旗下的3721网络实名(又名“雅虎助手”)页面近日已无法访问。中国雅虎方面承认,这是将放弃该业务的信号。
以前,点击3721域名会跳转至中国雅虎的相关页面,但今日显示“找不到相关页面”,并在几秒钟后跳转至中国雅虎首页。
2009年1月4日下午,中国雅虎相关负责人告诉记者,该公司未来业务重点是生活服务,非核心的业务将逐步淡化与下线。他指出,雅虎助手页面以后将直接跳转至中国雅虎首页。在2008年12月份,中国雅虎还曾压缩了内容资讯业务。
3721网络实名插件由奇虎公司现任董事长周鸿祎一手创办,它通过地址栏实现中文搜索。2003年11月,雅虎1.2亿美元收购3721公司,该软件更名雅虎助手。2005年10月,阿里巴巴宣布完成对雅虎中国全部资产收购,3721业务随之并入马云手中。
2006年,互联网业内掀起“反恶意软件”的热潮,周鸿祎率领360安全卫士成为反恶意软件先锋,曾经由他一手创办的3721软件(雅虎助手)则成了他“围剿”的重点目标之一。当年9月,阿里巴巴宣布投资1亿元继续开发与推广雅虎助手,但随后并未看到有实质的市场举动。
实际上,3721业务就如中国雅虎的网站业务一样,在当年“雅巴合并案”后,成为阿里巴巴集团董事局主席马云手中一块摇摆不定的“鸡肋”业务。马云曾于2006年9月对外自评整合雅虎中国,称3721已成为累赘。
“如果按照我的想法,我根本就不准备发展3721,但因为之前签很多的合同,有些是长期的,我必须要继续完成这个服务。现在3721对雅虎中国已经不是收入,而是成本”。马云曾这样表示。[1]
2009年1月4日消息,据中国雅虎公关总监王彤证实,中国雅虎将正式放弃发展3721和雅虎助手的业务的发展。王彤表示,中国雅虎“今后唯一的核心业务将是生活服务的电子商务化”。今后,访问3721和雅虎助手等页面将直接跳转到中国雅虎首页。同时,王彤对腾讯科技证实3721和雅虎助手将来也不会交由阿里巴巴其他部门运作,相当于彻底搁置起来。目前,中国雅虎的首页上已经没有任何雅虎助手或者3721页面的入口。而3721上网助手和网络实名等插件,已无法从官方网址下载。[1]
360董事长周鸿祎(新浪科技配图) 周鸿祎坦言:“3721一直是我想竭力摆脱的梦魇,包括我做360都是为了要摘掉这个强加给我的大帽子。”并且总结3721的失败,是因为忽视了用户的感受,不尊重用户的利益,眼里只有竞争对手。最终,“是用户打败了我”。 [2]