火绒安全软件
标题: 【安全警报】知名商业软件“喂养”病毒产业链 [打印本页]
作者: huoronganquan 时间: 2016-7-14 19:03
标题: 【安全警报】知名商业软件“喂养”病毒产业链
知名商业软件“喂养”病毒产业链:“Toxik”病毒追踪
一、 事件起因
随着中国互联网行业的欣欣向荣,软件推广可以带来巨大的利益,使得原本处在“黑产”中的“病毒制造者”纷纷变成软件推广渠道商,利用病毒技术和不法手段在互联网市场中大肆“吸金”。许多知名商业软件(包括某些安全软件)在明明知情的情况下,却利用病毒或黑产组织推广自家产品,并按照推广效果向病毒制造者支付大量费用,这是病毒组织疯狂作恶的最大动力。可以说,是知名软件公司们“喂养”着众多病毒制造者。
火绒安全实验室近期挖掘出一组病毒,长期潜伏在某知名下载站中。该病毒将自身伪装成流行软件(游戏修改器、系统周边工具等)在下载站中进行传播,在用户运行后,该病毒会利用国内某知名互联网公司的软件升级程序下载推广软件,甚至下载病毒驱动进行恶意推广。当用户发现自己可能中毒的时候,计算机中已经装满了各式各样的软件(图1-1)。
图1-1、病毒传播、推广过程示意图
近期收到用户反馈,计算机中会不间断弹出的广告窗口,并且会在每天开机后都会无故被安装很多软件。我们在处理用户现场时采集到了一个可疑驱动程序,原本以为这只是一般的中毒事件,但随后我们发现事情并不简单。
我们通过对用户拦截日志和火绒威胁情报分析系统中的数据分析,以用户视角还原了病毒传播过程,最终推导出这个恶意推广程序传播的源头。
二、 样本分析
在用户现场提取到名为“LvQiu.sys” 可疑驱动程序。经过分析,“LvQiu.sys”加载后会向C:\Windows\LakeView\目录释放名为“LvQiu.dll”动态库,并且注入到explorer.exe中,在explorer.exe中的“LvQiu.dll”会在内存解密一个新的动态库,该动态库通过explorer.exe连接222.186.3.52服务器的10004端口通信,获取推广软件的下载地址。该IP地址所对应的服务器会校验数据中包含的MAC地址来决定是否下载安装推广软件(图2-1)。
图2-1:被注入后的explorer.exe疯狂下载推广软件
图2-1中我们可以看出,该病毒利用explorer.exe下载大量推广软件,安装到用户计算机获得利益。虽然已经可以检测病毒驱动和动态库文件(检测名称为“TrojanDropper / Toxik.a!sys “和”Trojan/ Toxik.a“),但是病毒的释放者我们还并未找到,没有释放者无法解释病毒如何进入用户计算机的。
三、 还原事件
根据病毒与服务器通信的IP地址222.186.3.52指向hxxp://www.doushivip.com域名的下载链接,在火绒威胁情报分析系统中检索与hxxp://www.doushivip.com相关的病毒样本。
发现文件名为“0601_gszmsp.exe(0602_gszmsp.exe)”的程序会利用金山WPS升级程序下载名为“LV_0601(LV_0602)”的病毒,下载地址指向的就是病毒服务器。利用这个方法下载病毒的样本在火绒之前的报告中曾经出现过(hxxp://huorong.cn/info/146173859916.html)。为了查清病毒传播渠道,根据火绒行为沙箱的日志,我们在火绒威胁情报分析系统中列出近期利用WPS升级程序下载病毒的日志,通过安装推广软件的时间线,寻找病毒源头,发现病毒程序和以下软件有关系(图3-1)。
图3-1:和病毒相关的软件
我们模拟一般用户,通过百度搜索这些软件名称,发现在搜索结果中排名第一位的链接大都来自同一下载站(表3-1):
| 电脑系统时间自动校对器 | |
| 电脑校时器 | |
| 无法定位程序输入点修复工具 | |
| GTA5修改器 | |
| 侠盗飞车罪恶都市超级作弊器 | |
| 使命召唤9修改器 | |
| 越狱搜索 | |
| QQ号码申请器 | |
| 心心qq名片刷赞工具 | hxxp://www.crsky.com/soft/43046.html |
| Word-Excel密码破解器 | |
| 手机号码定位软件 | |
| CDR缩略图补丁 | hxxp://www.crsky.com/soft/64171.html |
表3-1:和病毒相关软件下载链接
我们将表3-1中的软件下载到本地,运行后发现安装程序的界面非常相似,应该是同一个团队或同一个作者制作,并且安装程序的最后一个页面满屏都是推广软件(图3-2),经过测试发现即使没有任何勾选,也一样会下载安装推广软件和病毒程序(图3-3)。
图3-2:相似的软件安装界面
图3-3:下载“软件”运行后的行为
根据以上信息我们可以推断病毒的传播方式和流程如下(图3-4):
1. 投毒下载站,伪装常用软件。
2. 在推广软件列表中混入病毒下载器,图中为“随身音吧”。病毒下载器会利用WPS的升级程序,下载更多病毒。在我们捕获的样本库中,除了还有“随身音吧”还有伪装成“万年历”、“随身智屏”、“V购助手”等名称的病毒样本(图3-5)。
3. “随身音吧”会下载名称为“LV_0601.exe”(病毒名:“HVM:VirTool/Obfuscator.gen!A”)和“s0601.exe”(病毒名:“TrojanDownloader/ Toxik.b”)这两个病毒。
4. “LV_0601.exe”运行后释放并加载“LvQiu.sys”驱动文件 (病毒名: “TrojanDropper/ Toxik.a!sys”),发送数据到222.186.3.52服务器(图3-6),数据中包含了本机IP、网络运营商、安装的安全软件、系统版本、程序名称和父进程名称,然后下载推广软件(图3-7)。发送信息可以帮助病毒作者统计出病毒传播渠道和范围。
5. “s0601.exe”还是利用WPS升级程序的推广软件下载器(图3-8)。
6. 被LvQiu.dll注入的explorer.exe会疯狂开始下载推广软件(图2-1)。
7. 疯狂的下载还远没有结束,直接被推广下来的软件还会继续安装更多的推广软件。
图3-4:病毒入侵并进行恶意推广
图3-5:HVM:TrojanDownloader/Toxik.a的不同变种
图3-6:LV_0601.exe(HVM:VirTool/Obfuscator.gen!A)释放并加载LvQiu驱动
图3-7:LV_0601.exe(HVM:VirTool/Obfuscator.gen!A)发送统计数据到病毒服务器
图3-8:s601.exe(TrojanDownloader/Toxik.b)包含的推广软件下载链接
如果直接访问hxxp://www.doushivip.com,还可以看到一个后台统计系统,使用弱口令可以进入该病毒推广程序的后台统计页面。登陆统计后台系统后可以看到病毒的历史安装,最早从2016-06-07日开始,日期每天都会增加,病毒虽然已经将统计数据传到服务器,但是结算数并没有同步,推断该后台应该是还没有部署完成所以没有展示(图3-9)。
图3-9:未完成的病毒服务器统计后台
是谁制作了并上传了这些软件?在分析软件安装包的时候,我们发现软件的下载功能在Support.dll动态库中实现(图3-10),该文件的公司名称是“天心工作室”(图3-11)。通过搜索可以找到名为“天心软件工作室”的网站hxxp://www.tiansin.com(图3-11)。经过测试该网站提供软件多数也都包含恶意代码。
图3-10: Support.dll实现下载功能
图3-11:病毒主要功能模块Support.dll
图3-12:天心软件工作室
通过对其网站的了解,我们知道了其主要涉足于软件推广及相关软件外包业务。虽然在其网站业务介绍中提到其外包业务不包含“病毒、木马等非法软件的开发与制作” (图3-13),但是其制作的软件产品实际就是用来进行恶意推广的“Toxik”病毒。网站页面中还有该病毒作者的微博链接,通过这个链接我们可以找到病毒作者的微博首页(图3-14)。
图3-13:业务介绍页面
图3-14:病毒作者的微博首页
在关于页面的联系方式(图3-13)中所示邮箱tiansin@tiansin.com,我们定位到了该病毒作者的支付宝账号(图3-15),通过支付宝校验收款人功能和账号找回功能得到了病毒作者的手机号码和身份证的部分信息(图3-16)。
图3-15:病毒作者信息
图3-16:病毒作者的手机和身份证部分信息
根据网站中“QQ在线咨询”所对应的QQ号码,我们找到了他的QQ空间,发现QQ空间日志发布地点主要集中在四川省的自贡市和成都市(图3-17)。
图3-17:病毒作者的活动范围
在QQ空间可以找到几个私密的相册,进入相册的需要解答问题“我的手机号是什么?”。我们已经知道了其经常活动范围以及部分手机号码,通过查询号段,我们最终找出了其真实的手机号码为:186****4141。输入后顺利的进入了他的私密相册(图3-18),并找到了病毒作者本人照片(图3-19)。
图3-18:病毒作者的私密相册
图3-19:病毒作者个人照片
其手机号所属地是四川省自贡市,由于其日志发布地点位于自贡市狮山街,我们即初步判断其居住地也在四川省自贡市狮山街附近。我们根据查询身份证所属地信息与其微博中所示的出生日期,我们初步推断出了其身份证号为:51031119870507***4。根据身份证校验算法可以暴力猜测出三十几个有效身份证号码。
根据空间中所分享的电影票信息和地理位置信息,我的总结出了该病毒作者可能身在成都市区,其经常活动地点多在成都地铁1号线与2号线交叉处附近。至此,病毒作者的大致轮廓已经非常清晰。
图3-20:病毒作者活动区域
四、 结论在国内互联网市场中,用户经常会选择利用破解工具“免费”使用软件。这一现状使得一些“病毒制造者”抓准了用户的这一“痛点”进行病毒的扩散和传播,又因为大部分安全软件厂商对于这些破解工具都会选择查杀,所以即使报毒,用户在缺少相关知识背景的前提下通常会选择将该病毒加入信任。
该病毒就利用国内下载站对软件审核上所存在的漏洞和用户对下载站的依赖进行传播,并通过搜索引擎优化等手段将搜索引擎结果诱导至投毒过的下载站链接。普通用户在下载到这些病毒程序后,缺少辨识能力,选择相信下载站下载的程序,所以放松警惕,导致了病毒的大量传播,对自己的主机安全造成了隐患
通过我们的排查,确定了该病毒的主要的传播来源是“非凡下载站”。并且该病毒作者所上传的众多“软件”热度较高、下载量巨大,在百度的搜索结果中排名也较为靠前,从而使其在短时间之内大面积传播。
此次事件给广大用户和各大下载站的管理人员敲响了警钟。随着“黑色产业链”逐渐将“黑手”伸向更加暴利的广告推广业务,在国内市场中,真正意义上的病毒已经开始逐渐减少,以劫持“灰色流量”、恶意捆绑为盈利方式的恶意程序逐渐增多。
五、 附录文中涉及样本SHA1:
| |
| b7a41bee82be730c869ee8872eae6d1bca064f82 |
| QQ号码申请器.exe | bb7a5198b3b770e363cd9ffaf7f872b6b44b10e1 |
| 0852ac21cd1a1371c7e5194c384aa7bcf2c34d84 |
| 电脑系统时间自动校对器.exe | 671d49869f9cf2c2980bf4a268e7234f6e43732c |
| 7acd551b0c25e6e6d9a71c39295af92223f7a32b |
| 密码破解器.exe | 8ed2690ed393731265fe7bb73d945ac4b738083b |
| f6aeb678aed9ff54d0ed0bc571cf7355b75af2f6 |
| 手机号码定位软件.exe | 1b18e42c523031803c748109cb8c602b15e44827 |
| 271ee7ea4f9ac1cd01592027c78c0ee940cc0fbc |
| 无法定位程序输入点修复工具.exe | dd877f2ab17c19a289f68bdbbc0ee5bed0b6bb65 |
| 4fb852dc3e5daba3839481537dd32f6c9ac6c8c5 |
| 越狱搜索.exe | cec85ad8bda15936e6c86f0e45374c7c8ec232f0 |
HVM:TrojanDownloader/Toxik.a | 02d08baf5ba9e7abc8f312d1d0839c6d68d9ece7 058dd7501bc53649378c564a54f73f13e3df17ea 0ff093127dffec3c537b85f8d2a2f48ef5a07d92 53857edb52d24f0ba00af385ec84593a25c3d20b 7fefe90f55aab8af58431420ad8c80c48749d22e 98f1058db4dc1df05c72d500e41a0f87d5027c58 d2cde61ae156c287ca208e467063594b6f585951 |
| TrojanDownloader/Toxik.b | f1757c96f4b8c0f8a8229943586b1973a76b9869 |
TrojanDropper/Toxik.a!sys或HVM:VirTool/Obfuscator.gen!A | 33468289ec4bc5a97920b3f97ebd8cf1b170b1ba 51e6e9f6cbaafaf3d6c64fb1989941eb0dee1884 9651483e6964f50cbf8e0b7dd75912dd1e360a99 |
| LvQiu.sys(TrojanDropper/Toxik.a!sys) | b7b3fbe770f2353a876b039b6426212e2fd5ece8 |
LvQiu.dll LvQiu.sys(Trojan/Toxik.a) | 33a3b6b126a9a53943063b5a183d827df5b9e793 |
Support.dll(TrojanDownloader/Toxik.a) | 4bb90e6920c20175ead3091305977b99c1156883 |
文中涉及相关恶意域名和IP:
|
|
| doushivip.com |
|
| 0555baobao.com |
|
|
分析报告下载链接:https://pan.baidu.com/s/1mhFZ68g
作者: 潘中医 时间: 2016-7-14 19:06
斜眼笑
作者: 莒县小哥 时间: 2016-7-14 19:17
火绒怎么可以这么给力?
作者: JDYX4552 时间: 2016-7-14 19:35
报警了吗?
作者: 仁二 时间: 2016-7-14 19:51
前排留名
作者: 火苗 时间: 2016-7-14 19:53
简直是网络侦探啊
作者: lambggy 时间: 2016-7-14 19:57
小狐狸
作者: 心醉咖啡 时间: 2016-7-14 20:12
竟然连人长什么样都追出来了,这追的好深啊
作者: 矢空竹 时间: 2016-7-14 20:34
中过招,不过下的是360和搜狗一家子。
作者: 傻傻的杰宝 时间: 2016-7-14 21:10
可怕
作者: 星图 时间: 2016-7-14 21:20
可怕
作者: 星图 时间: 2016-7-14 21:21
天心软件工作室”的网站hxxp://www.tiansin.com(图3-11..... hxxp这是故意的?
作者: Suner 时间: 2016-7-14 22:33
一堂生动的社工课
作者: 燕九 时间: 2016-7-15 00:40
这个作者也蛮可怜的。。。。
不过我喜欢
作者: a1121611810 时间: 2016-7-15 09:25
火绒的‘深度搜查’,真的好变态啊
作者: 到处闲逛 时间: 2016-7-15 09:34
安全警报值得大家警醒
作者: 小绒 时间: 2016-7-15 09:59
我就是在非凡软件站下了一个类似软件,然后无限安装流氓软件,之后我才知道了火绒。这里我也来检举一个软件,Md5校验工具。建议可以把非凡软件站封了!!顺便问一句怎么举报非凡软件站。
作者: huoronganquan 时间: 2016-7-15 10:21
因为我们更纯粹,更专注,更专业~
作者: huoronganquan 时间: 2016-7-15 10:21
作者: huoronganquan 时间: 2016-7-15 10:23
其实我在很早之前也中过,当时以为是自己不小心呢
作者: xiaonan9421 时间: 2016-7-15 10:45
两年前用过天心的软件,那时候不知道有没有中招,不过现在一般不乱下东西了,下载东西,不管是什么,下好后第一时间用火绒杀毒,已经成为习惯。
作者: xiaonan9421 时间: 2016-7-15 10:46
头像灵主
作者: Tomin2009 时间: 2016-7-15 11:48
火绒太给力了
作者: 562698506 时间: 2016-7-15 12:49
好叼的样子
作者: ep8c20030 时间: 2016-7-15 13:34
嚯,一个公司对一个人进行人肉?道义上也不对吧
作者: vardyh 时间: 2016-7-15 14:01
这是对病毒事件的溯源
作者: f59375443 时间: 2016-7-15 17:44
火绒干得漂亮!
不过如此“深度调查”,这种级别的人肉搜索也属于灰色地带,很容易被别人告侵犯隐私权了吧?
作者: babaluosha22 时间: 2016-7-15 18:28
这……这……这火绒太可怕了啊,你们还敢用么?
作者: admin 时间: 2016-7-15 18:34
有病毒,攻击手段都在代码里,连完整的攻击路径都分析不清楚才不敢用吧?
作者: 无语问苍天 时间: 2016-7-15 18:46
国软药丸
感觉国软(火绒除外)没几个好鸟
作者: q34525283 时间: 2016-7-15 19:42
可啪的人类
作者: 我是神金币 时间: 2016-7-16 01:09
你为何这么**
作者: zhuozy 时间: 2016-7-16 09:30
现在几个软件下载站流氓倍出,专门欺负电脑小白
作者: 虎皮霹雳兔 时间: 2016-7-16 10:57
这里是个人的感慨
目前的国情
1 各种经济利益驱使下的铤而走险(毒奶、地沟油、各种流氓捆绑等等);
2 犯罪成本太低,做了危害公众利益的事情普罗大众没权利而权利机构没能力(或者是太多忙不过来)去惩罚;
3 在火绒看到的更多的不是技术而是一种品质,衷心的说声谢谢!!
作者: admin 时间: 2016-7-16 15:07
在网路上常常看到有另一类言论
1. 现在这么多流氓,我装个最流氓的来管住小流氓。
2.免费软件我也没付出什么,白用了人软件给人搞下呗。.....
国内的互联网环境这样混乱:
首先是管理缺失或犯罪成本过低,在下来软件厂商的不自律。。。。
当然,最后还有网民们自我权利意识单薄。
期待国内环境改善吧。
自己被人侵害权益了不会想去维护。
作者: 虎皮霹雳兔 时间: 2016-7-16 15:16
本帖最后由 虎皮霹雳兔 于 2016-7-16 15:20 编辑
对于电脑小白来说不是不想维护权益,是该找谁去维护?钢铁侠还是美国队长?
作者: SXYSXY 时间: 2016-7-16 15:19
可以啊,我擦
作者: 虎皮霹雳兔 时间: 2016-7-16 16:01
好吧 对普罗大众来说除了期待与等待之外还能做啥?
作者: admin 时间: 2016-7-16 16:09
会变好的!
作者: 火绒剑 时间: 2016-7-16 17:50
厉害i
作者: 暴雪苍狼 时间: 2016-7-16 21:15
握**,666!
那个人被你们揪出来之后结果怎样?要不要被警察叔叔叫去训话?
作者: 孙悟空 时间: 2016-7-17 09:06
太牛了 我擦
作者: 淞璟 时间: 2016-7-17 15:19
其实,在各大提供软件下载软件,都捆绑各种流氓软件,不像以前那样干净了。再说快车能调用火绒杀毒?
作者: zhengjigui 时间: 2016-7-18 08:40
涨姿势。。。
作者: 林锡箔 时间: 2016-7-18 21:40
第一次看,觉得挺高大上的,但是一想到我电脑上的火绒也是捆绑安装上的,就觉得什么软件都不安全。
作者: 唐不苦大将军 时间: 2016-7-18 22:04
混个脸熟,派大星
@JDYX4552
作者: 唐不苦大将军 时间: 2016-7-19 15:54
我很帅我很帅我很帅我很帅我很帅我很帅
作者: 877237664 时间: 2016-7-19 16:17
6666666666
作者: anonyymi 时间: 2016-7-19 22:13
支持支持~!
作者: mengfanjie88 时间: 2016-7-20 08:02
林锡箔 发表于 2016-7-18 21:40
第一次看,觉得挺高大上的,但是一想到我电脑上的火绒也是捆绑安装上的,就觉得什么软件都不安全。 ...
捆绑安装基本有两种情况,一是软件商的恶意推广,二是被竞争对手所害,造成恶习推广假象
作者: s1711880582 时间: 2016-7-20 17:24
在卡饭看到这个,笑尿了,作者太寸了,碰到火绒团队了,哈哈哈
作者: micromine 时间: 2016-7-21 19:28
本帖最后由 micromine 于 2016-7-21 19:30 编辑
火绒好样的,各行各业都应该有基本底线,不能学了技术不学好,捞偏门儿!
作者: windsnowinsky 时间: 2016-7-22 13:49
你们这样真的好么?这搜索什么的也太给力了!
虽然用的基本上是一些公开信息之类的,但未免也太那啥了吧,这样下去的话我还怎么敢用哦
作者: shero 时间: 2016-7-22 15:13
报告这么详细,佩服!
作者: lwt 时间: 2016-7-22 19:12
火绒厉害,突然爱上你了
作者: iframan 时间: 2016-7-23 09:38
病毒作者好像营养不良哦
作者: qixingzhaoxun 时间: 2016-7-23 20:24
本来不想发言的,看楼主的追查手段如此厉害,佩服的不行,支持了!!面对这些作恶的病毒制作者,只能说为了金钱什么事都敢干啊!!!
作者: liaowenkai 时间: 2016-7-24 11:50
不去做人肉专家可惜了,就问报警了么
作者: liaowenkai 时间: 2016-7-24 11:58
我就住在旁边,难道是我么?
作者: yzqzss 时间: 2016-7-24 12:05
???火绒有钱捆绑........及使是捆绑,也是正规捆绑
作者: yzqzss 时间: 2016-7-24 12:08
你们分析得还不错,就是某些细节没有找到,但我找到了!!!
作者: huoronganquan 时间: 2016-7-25 10:05
来吧,互相伤害,啊,不对,是互相相爱吧~
作者: huoronganquan 时间: 2016-7-25 10:06
你说,484你~快老实交代
作者: lyldn 时间: 2016-7-26 21:53
马上报警,将这个人抓起来,应该杀一儆百。
作者: 迷途丶小书童 时间: 2016-7-27 22:32
火绒 太给力了 牛逼
作者: ysh0797 时间: 2016-7-27 23:42
火绒安全分析师真厉害啊,网络侦探啊。
作者: lxxx007 时间: 2016-7-28 10:46
可怕。处处陷阱。幸亏有火绒剑。
作者: startto 时间: 2016-7-28 17:28
那人怎么那么眼熟呢?难道我在IFS哪里和他擦肩而过过?
作者: 殁漂遥 时间: 2016-7-28 22:20
非常给力的文章,转走
作者: huoronganquan 时间: 2016-7-29 11:00
作者: 自在 时间: 2016-7-29 13:02
网络侦探
作者: 菜鸟想飞 时间: 2016-7-29 14:07
官人公布的太细了,容易招来水战。损人不利已的事没人会干,凡事都有幕后利益链的。你点得在透,在……环境下,会招来很多麻烦的。还是全力做好自己的事吧!
作者: huoronganquan 时间: 2016-7-29 14:12
吾将上下而求索。
作者: zjhcd01 时间: 2016-7-29 21:59
牛 13 
。 。
作者: 18115066677 时间: 2016-7-30 01:44
首先我是个电脑小白,对计算机技术方面似懂非懂,晓得点皮毛。整篇看了下来,感觉你们技术确实很厉害,但心里也有点担心。主要担心,在现今这个灰色的天空下,如果没有强力的后台支持,我希望你们能走的更加谨慎一些,因为现实是很危险的。今天是我第一次在朋友的推荐下,使用火绒安全产品,以前从不安装杀软之类的,我真心希望火绒越来越好!个人感觉只要防范技术过硬,即使收费我也愿意使用。当然在系统优化、清洁度上也要继续坚持下去。感谢各位工程师的奉献!谢谢。
作者: wyjok 时间: 2016-7-30 12:37
这个不是人肉吧,倒不如说是社工。
作者: zuiaiyutu 时间: 2016-7-30 13:34
佩服
作者: sinnl 时间: 2016-7-31 09:22
现在流氓软件太多;了
作者: 式神的傀儡 时间: 2016-7-31 10:23
牛百
作者: 858070372 时间: 2016-7-31 15:28
太刁了 这才是杀软该做的事情 看看其他厂商 哎
作者: vip001 时间: 2016-8-1 22:22
本帖最后由 vip001 于 2016-8-1 22:26 编辑
他放毒,你讲道义,服了……
作者: vip001 时间: 2016-8-1 22:26
希望始作俑者能受到法律的制裁!!!
作者: xym95 时间: 2016-8-2 09:10
下载软件改用商店下了
作者: han1531588664 时间: 2016-8-3 00:08
火绒太**了!怒赞!
作者: boltkiller 时间: 2016-8-4 09:18
这还需要hxxp吗?必须是http啊,不信你再给我搞个其他的出来
作者: NPC 时间: 2016-8-4 12:53
这货qq已经加密了
作者: qiyebb 时间: 2016-8-5 11:56
深度好文,一堂生动的反病毒追踪课。
作者: 咻半仙 时间: 2016-8-7 12:32
支持一下。神奇的分析帖子
作者: 叶子 时间: 2016-8-10 03:53
火绒下载安装后不能使用,提示:安全服务出现异常,无法正常启动,重启还是一样,也不能卸载,什么情况,另外这样的曝光调查过程很有趣,
病毒作者好变态,不是火绒变态 火绒运营看到我的回复可以联系一下我吗。我最近遇到一些超级变态,感觉像遇上鬼了阴魂不散 求调查曝光 曝出他变态的老底
作者: huoronganquan 时间: 2016-8-10 09:52
收到收到~加我QQ:995327387
作者: zhou521qq 时间: 2016-8-10 14:57
火绒要改成水表公司了- -
作者: 该隐的两面 时间: 2016-8-11 10:45
是不是任何人基本都能查得到
作者: huoronganquan 时间: 2016-8-11 13:51
国内人对自己的隐私信息安全不是很看重,所以有些人会比较好查,文中的这个男子被查到资料,一方面是他自己不注意安全,另外一方面还是因为我们工程师有真水平,
作者: akdjk 时间: 2016-8-16 12:03
追的好深,火绒水表公司
作者: 久久 时间: 2016-8-16 17:45
现在下软件都先看一眼是不是@XXX.exe……
作者: 1042215037 时间: 2016-8-17 00:04
6666666666
作者: 豪的er 时间: 2016-8-17 19:11
警示我们在做坏事时,要将自己的QQ相册清空
作者: liming6908 时间: 2016-8-18 11:10
这追踪技术太强了.
作者: cong1648317829 时间: 2016-8-20 14:39
卧槽。害怕
作者: rangersxiaoyan 时间: 2016-8-21 17:54
火绒团队只是业余的(都晓得了手机号,支付宝账号,QQ号,身份证号,和真人照片),如果是社会工程学的专家+有关部门辅助,轻轻松松找到你。所以别网络干坏事
| 欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) |
Powered by Discuz! X3.4 |
