ผมสังเกตว่าหมู่นี้มีสแปมในลักษณะแปลกๆ มาจาก Google Group ส่วนใหญ่เป็นกลุ่มอย่างว่า การอยู่ภายใต้ชื่อกูเกิ้ลเสมือนหนึ่งว่าน่าเชื่อถือ แต่กลับถูกจับเป็นสแปม

(I noticed strange spam comments on my blogs which came from Google Group. Under the name Google they seem to be trustable URL but captured as spam. It look like this:)

ลิงค์ที่โพสต์และ URL ของเจ้าของความดูเหมือนเป็น กลุ่มสีชมพูธรรมดา แต่หลังผ่านตาหลายครั้ง ผมชักเกิดความสงสัยขึ้นมา จึงลองตามไป ได้ผลตามที่เห็นในรูปด้านล่าง

(It’s look simply as normal adult content group hosted on Google. I have some question which make me follow the link. This is what I have seen:)

หน้าแรกของกลุ่มมีการลิสต์ลิงค์ไว้ เป็นวีดีโอโป๊ เนื้อเรื่องภาพ เหมือนว่าจะเป็นกลุ่มโป๊ธรรมดาไม่น่ามีอะไรซ่อนอยู่ ถ้าคลิกจะพบว่า ที่ลิงค์บนสุดลิงค์ไปยังอีกหน้าเหมือนเป็น “วีดีโอแหย่รู” จาก Youtube หน้าตาเหมือนมีการฝังหน้าแสดงวีดีโอของ Youtube ตัวคลิปมีคนเข้าชมแล้ว 38 ล้าน พร้อมข้อความชวนให้คลิกดู คำถามผมเริ่มที่จุดนี้ครับ

(The group is listing adult contents; clips, stories and etc. Nothing wrong? Yes, it seem to. But when click on the first link it will lead to another page. The video page mimic itself as Youtube page showing “Deep Fisting” video. The video ask you to click to see the movie. It’s look like Youtube is embedded into the page.)

ภาพบน ถ้าเลื่อนเม้าท์ไปรอบๆ ทั้งหน้า โดยไม่ต้องคลิก จะขึ้นข้อความ “Click here to see movie” และ uURL ที่แท้จริงปรากฎด้านล่าง (คลิกที่รูปเพื่อขยายใหญ่ดูนะครับ) ว่าแต่มันทำเนียนมากครับ มีรูปหมุนๆ เหมือนชวนให้คลิกดู แต่คลิกตรงไหนก็ได้ ถ้าคลิกแล้วมันจะให้ติดตั้ง ActiveX

ถึงตอนนี้ผมทราบความมุ่งหมายแล้วล่ะครับ นึกออกใช่ไหมว่าให้ติดตั้ง ActiveX ทำไม เป้าประสงค์ร้ายแน่นอน ไม่มีทางเป็นอย่างอื่น ผมไม่ได้ติดตั้งครับ คลิกยกเลิก ปรากฎว่ากดยกเลิกหรือกดปิดยังไงก็ไม่ได้ ท้ายสุดลิงค์ไปยังหน้าด้านล่าง “Video ActiveX Object error” บังคับให้ติดตั้งท่าเดียว กดปิดไม่ได้ ยกเลิกไม่ได้ ท้ายสุดต้องไปสั่ง kill process ที่ Task Manager (เคราะห์ซ้ำกรรมซัด IE8 ดันมี Automatic Crash Recovery คืนหน้าเดิมอีกแน่ะ)

From above shot, if you move cursor around that page it will show “Click here to see movie”. And if you look closely to the bottom bar of Internet Explorer you will see the real URL. All area including empty space is clickable. When clicking (on any area) it will ask you to install ActiveX, guess malicious software. The Cancel and Close bottom is for nothing, it continue to ask to install ActiveX. It’s also unable to close IE except you kill the process (and IE8 has Automatic Crash Recovery to bring it back).

เนื่องจากผมไม่ยอมสมยอมที่จะติดตั้ง ActiveX จึงไม่รู้ว่าเป็นอะไรแน่ โทรจัน สปาย หรือตัวเจาะระบบอื่น แต่เชื่อชัดว่าต้องเป็นตัวประงสงค์ร้าย

อีกประการที่ผมไม่ทราบว่า Google ปล่อยปละละเลยให้มีกลุ่มลักษณะนี้ได้อย่างไร จากเท่าที่สังเกตพบว่ามีอยู่ด้วยกันมีหลายสิบกลุ่ม การปล่อยซอฟท์แวร์ที่ไม่พึงประสงค์ขัดต่อข้อตกลงการใช้บริการกลุ่ม ที่ระบุว่า “ส่งไวรัส เวิร์ม ข้อบกพร่อง ม้าโทรจัน หรือสิ่งอื่นๆ ที่มีผลร้าย”

ดูเหมือนว่า Google Group จะกลายเป็นแหล่งซ่องสุมใหม่ของผู้ประสงค์ร้าย เนื่องจากระยะหลังการปล่อยผ่านโฮสต์ฟรีต่างๆ ไม่ค่อยได้ผลเท่าที่ควร และภายใต้ชื่อกูเกิ้ลย่อมหน้าเชื่อถือกว่าaccording

(By not installing ActiveX, I have no prove if it is malicious attack but look so. If malicious code I wonder how Google letting them exist there since it against Google’s Terms of Service: transmit any viruses, worms, defects, Trojan horses, or any items of a destructive. For few weeks, I have seen big number of these Group posting spam link on several sites. From my observation, the number of spam from free host is decline and there was a move to more trustable name, Google Group.)

Update: Below is shot of the code of page. Youtube video is just a animated gif.