记一次清除恶意脚本的过程

某年的某一天发现在用chrome的时候遇到很诡异的问题，打开网页后，点击网页任意地方都会被重定向到其他页面，然后手动返回原网页又能正常使用。但是时间一长网页就会经常卡顿，是那种非正常的卡顿。chrome、safari、firefox都有这毛病，但是唯独canary没有。怀疑极有可能是有什么恶意脚本在作怪，因为canary属于小众浏览器就放过了。趁着快周末有时间，决心亲自动手找出毒瘤。

随便打开一个网页，发现在其body最后有这段代码：

在这里网页被嵌入了一个宽度100%、高度100%、不可见的带href的frame，难怪点击任意地方都会被重定向，为了满足好奇心，去看了下被转到哪了：

恩，是淘宝某店铺的页面…

现在需要找出这段代码是怎么被插进网页的。顺藤摸瓜，找到一堆相关的js脚本，其中看到这个：

上图代码里写着的目标浏览器里并没有包含canary，或许这就解释了为啥其他浏览器都中招，唯独canary没事了吧。

接着往下走，发现了一大堆的js，它们环环相扣，链式地下载彼此，下图里的绝大多数都是最后恶意下载的脚本：

分析了半天，最终发现这堆脚本的鼻祖起源于这行代码：

这个secure.surfbuyermac.com也不知道是什么玩意，搞不懂是怎么插到页面里的，起初怀疑是浏览器的恶意插件导致的，于是停掉所有chrome、safari的插件，结果发现问题依旧存在。接着怀疑可能是电脑本身的恶意脚本导致的，于是调起万能的Spotlight：

去Applications瞧一眼：

为了确认是不是它，再去终端看看有没有在自启动：

妈蛋，总算逮着你了！kill掉相关进程后，再打开网页，哈，整个世界都清净了~：

最后保管好那个SurfBuyer以后有时间拿来做样本好好研究研究。