今天家人跟我說電腦上突然跳出了如下的網頁畫面，

說 Your system is infected with 3 viruses!

叫我們要按下 Scan Now 立刻掃瞄電腦：

 

看了一下，這個東西相當的可疑…

 

1. 網頁彈出的時機

首先，這個網頁是在瀏覽其他網頁時跳出來的，

所以很有可能是瀏覽的網頁把這個網頁彈出來～

假設真的 Apple 有好心到偵測電腦上的惡意軟體，

應該會透過系統的機制 (如 Mac 本身的對話框、Appl Store 之類的) 來通知，

而不是用網頁～

 

而且，既然網頁都說它已經掃到我們 Mac 上的病毒了，

根本沒必要再按 Scan Now 再掃一次…

 

2. 不是 HTTPS 網站

另外，雖然整個網頁看起來都很像是 Apple 網頁的風格，還帶了個 AppleCare 的圖示，

但網址 _http_://www.apple.com-security.systems/ 卻不是原本的 www.apple.com，

而且連 HTTPS 簽章都沒有，有點太沒誠意了～

 

3. 不是 Apple 自己的網域

用 Whois 查一下 www.apple.com-security.systems 這個網域名稱，

發現其實登記的網域名稱是 com-security.systems，

www.apple 算是每個人都可以自己架的子網域名。

而且網域才剛跟 NameCheap 註冊不到 20 天，也只買了最低限度的一年期：

• Domain:com-security.systems
• Registrar:NameCheap, Inc.
• Registration Date:2017-08-02
• Expiration Date:2018-08-02
• Updated Date:2017-08-07

 

來看一下真正的 www.apple.com 的 Whois 資訊吧，

apple.com 這個網域名稱可是從 1987 年就註冊了：

• Domain:apple.com
• Registrar:CSC Corporate Domains, Inc.
• Registration Date:1987-02-19
• Expiration Date:2021-02-20
• Updated Date:2017-07-06

 

4. 網址經過多層跳轉

正常的 http://www.apple.com 頂多幫你跳轉到 https://www.apple.com，

但這個問題網域卻跳轉了非常多次…

 

用 curl -L -v 來觀察一下連線的資訊，

一開始先利用 <meta http-equiv=”refresh”> 的方式，

跳轉至 _http_://track.mediamarketing.me (這網址已經擺明是在市場行銷追蹤)，

接著又連續用 HTTP 302 Moved Temporarily 的方式，跳轉了好幾個網址：

• _http_://c.gcnhu.com
• _http_://letmegofaster.world
• _http_://app5.letmegofaster.world

 

至止已經相當確認，這個並不是 Apple 本身跳出來的網頁，

但很有可能屬於某個惡意軟體、或是瀏覽的網頁裡被加了料，

因此不去點擊這網頁上的連結，是上上之策囉～

 

參考資料：Q: “Your system is infected with 3 viruses!”