劫持AdSense?

对AdSense发布商来说，最郁闷的也许莫过于大量的广告点击被Google判定为“非法点击”，不仅无法得到预期的广告收入，而且，过多的“非法点击”也会影响发布商帐号的安全——至于Google的非法点击监测机制是否如传统中那般英明神武则是另一问题，不在本文的讨论之列——但是，如果有一天，在发布商网站上所产生的广告点击统统在Google眼中“消失”，会是怎样的场景？

Trojan.Qhost.WU : 劫持AdSense

这便是最近开始在英文领域引起关注的AdSense劫持问题。所谓AdSense劫持，简言之，即某些网站利用木马程序，将客户计算机DNS设置中“pagead2.googlesyndication.com”解析到其他地址，由其来承担输出外观一致的“伪”AdSense广告的任务，当用户访问网页时，页面中AdSense广告单元的内容源自该网站非Google，尽管用户此时也能看到AdSense广告单元中的内容，尽管也可能点击相应的广告，但，已经与Google无关，Google与AdSense发布商一起沦为不知情的冤大头。

在这类木马程序中，比较著名的便是Trojan.Qhost.WU——由一家罗马尼亚的防病毒企业BitDefender率先发现并命名——不过，从传播机制上看，该木马还属于比较低级的，尤其与中文领域的高手相比。

检测与清除Trojan.Qhost.WU

AdSense发布商

对AdSense发布商来说，可作的很有限，至多检查一下自己的AdSense状态，看看是否广告展示数量与日记统计中的访问记录是否有很大出入，基本上了解一下网站的访问用户群中被劫持的比例，但恐怕也仅此而矣：对用户的计算机则无能为力。

当然，也要检查一下自己的网页是否携带该木马，是否沦为其传播的帮凶。

用户

对大多数用户来说，要检查是否被Trojan.Qhost.WU侵入，只需解析一下“pagead2.googlesyndication.com”，看看地址是否正确即可，“pagead2.googlesyndication.com”的IP应该为“6x.xxx.xxx.xxx”，即第一位应该为6，如果解析结果第一位为9，则证明Trojan.Qhost.WU已经在计算机中安营扎寨了。

清除Trojan.Qhost.WU

Trojan.Qhost.WU的清除也不复杂，下面为手动清除步骤 (Via PcHubs)

1. 打开“添加/删除程序”；
2. 查找“Trojan.Qhost.WU”，如有，删除之，如无，跳转到步骤5；
3. 重启计算机；
4. 关闭“添加/删除程序”、控制面板等；
5. 关闭所有程序；
6. 编辑hosts文件(位于%windir%\system32\drivers\etc\hosts)，删除“pagead2.googlesyndication.com”所在行；
7. 重启计算机；
8. 搜索 “foundbadfile1.dll” 与 “foundbadfile2.dll” 并删除之；
9. 如此即大功告成。

劫持AdSense，这仅仅是个开始？

上文已经说过，Trojan.Qhost.WU从传播机制看还是很初级的，其只能被动地等待用户访问含木马的网页，并且只有在用户使用IE时才能感染——写到这儿，不自觉地想起近来关于“最安全”的FireFox推广笑话 。

一个有趣的问题便是，如果勤劳勇敢聪明智慧的国人加入到这个领域，会发生怎样的情况？比如说让憨态可掬的熊猫哥哥来玩玩这个，不就修改一下hosts文件么？恐怕连块迷你蛋糕都算不上，捎带手的事。当然，也不限于AdSense，其他广告系统与阿里他妈等同样面临如此的境地。

当然，也不必过于担心，至少就目前来说，估计中文领域的“高手”们还都不屑于玩这种不“入流”的把戏：这只是显示自己的广告，用户是不是点击还在未定之数，哪如干脆弹窗来得直接，反正又不用担心有什么后果！