国产流氓软件“火球”全球作恶——受害者众多引起公愤

huoronganquan

一、综述

6月1日，知名安全公司CheckPoint发布报告称，发现了由中国公司控制的流氓软件“火球（Fireball）”，因受害者众多，已经引起国外安全机构的重视。

在“火球（Fireball）”事件中，火绒安全团队发现了野马浏览器、Deal Wifi软件等8款流氓软件，这些流氓软件感染电脑后会将Chrome浏览器的首页、TAB页改为随机生成的搜索页，而用户无法更改。虽然页面各不相同，但搜索页均抓取雅虎和谷歌数据，火绒安全团队推测，流氓软件制造者以控制用户点击雅虎和谷歌的广告牟利。

流氓软件在安装时会检测电脑是否有Chrome浏览器，若没有则相安无事，若有则会提示用户安装一个Chrome插件，不安装插件就不能安装软件。

虽然这些软件来自国内卿烨科技、百盛达科技等多家公司，但是火绒安全团队通过追踪发现，其均由同一作者“baoyu430@gmail.com”制作。作者注册不同网站，制作了一批流氓软件。

这些软件只攻击Chrome浏览器，但考虑到Chrome浏览器在国外的市场占有率，“火球（Fireball）”事件可谓影响巨大，国内Chrome用户也可能收到挟持。

用户可以通过卸载这些流氓软件恢复Chrome浏览器的设置。当然，另一种更省力的方法是开启火绒安全软件，火绒安全软件已可全面查杀“火球（Fireball）”事件涉及的流氓软件，建议用户下载安装最新版火绒安全软件。

这次“火球（Fireball）”事件虽然在外国爆发，但其“作案手法”在国内早已屡见不鲜，可以看出国内的网络犯罪手法正在向国际蔓延。

二、事件分析

近期火球（FireBall）事件中，涉事软件存在劫持Chrome浏览器首页及新标签页的恶意行为。经过火绒追查，发现更多软件涉及此次事件，如下图所示：

软件列表

以“Deal WiFi”软件为例，安装如下图所示，如果用户不勾选 "Set mystart.dealwifi.com as your chrome homepage and newtab"，则无法继续安装。如下图所示：

安装

勾选后使用火绒剑监控“DealWiFi”安装过程，可以看到程序在后台安装了一个Chrome插件，如下图所示：

安装Chrome插件

该插件会“劫持”Chrome的设置界面，如下图所示：

劫持Chrome首页及新标签创建页面

Chrome浏览器的首页被修改为hxxps://mystart.dealwifi.com/?type=apps，如下图所示：

搜索劫持

这些流氓程序安装流程一样，都会强制安装一个名称和所装软件名称一样的Chrome插件。这些插件功能完全相同，都是锁定首页和新标签页的URL，其中名为"Soso Desktop"的流氓软件还强制修改默认搜索引擎。

与国内一般的添加带有首页推广号的锁首方式不同，病毒插件锁定的根据安装的流氓软件不同搜索页面也不相同如下表：

不同软件劫持的网址

我们通过对比搜索结果可以发现，除 Holainput锁定的搜索页面最终结果会跳转Google外，其余搜索页面和hxxps://www.yahoo.com的搜索结果一致，后台疑似使用Yahoo的搜索结果。但是无论使用的是Google还是Yahoo，病毒服务器都可以记录用户的搜索内容，对用户的搜索信息隐私安全造成威胁。

经过火绒追查，诸多上述恶意软件的注册信息中都出现了注册人鲍雨与其注册所使用电子邮箱“baoyu430@gmail.com”。通过搜索卿烨科技有限公司的工商信息，我们发现名为卿烨科技的公司共有五家，其中与病毒存在直接关系的公司共有三家，分别为卿烨科技（北京）有限责任公司（下文称北京卿烨）、卿烨科技（上海）有限责任公司北京卿烨雨林分公司（下文称上海卿烨北京分公司）和卿烨科技（上海）有限责任公司（上海卿烨）。经过我们对企业信息的梳理与筛查，我们初步理清了与病毒相关的公司运作关系，如下图所示：

涉事公司关系图

在整个公司运营中，最主要的涉事人为马琳和鲍雨，马琳为相关公司的最主要出资人，鲍雨为主要经理人。

北京朗基努斯投资中心股东信息中，只有马琳和鲍雨，该公司以相对控股方式控制卿烨科技（上海）有限责任公司。该公司的主要职能为进行资本，进行对外投资整合资源。

上海卿烨主要负责开发进行流量劫持的浏览器插件和国内外相关网站服务的开发，并且通过对外投资以绝对控股方式控制着北京卿烨，同时设有下属分支公司上海卿烨北京分公司。在该公司产权信息中，我们发现了传播恶意插件的软件，如下图所示：

上海卿烨产权信息

我们还在招聘网站找到了该公司的招聘信息，如下图所示：

上海卿烨招聘信息

北京卿烨主要负责软件及游戏开发，其开发的软件为劫持流量的传播载体，软件诸如：Deal WiFi、Soso Desktop和FVP Imageviewer等。在该公司产权信息中，我们发现了更多携带流氓推广的软件，如下图所示：

北京卿烨产权信息

上海卿烨北京分公司主要负责流量劫持的浏览器开发。该公司公示的招聘信息，如下图所示：

上海卿烨北京分公司招聘信息

三、附录

样本SHA1：

0f6df3d425c0f2e60eca1cd8a20106c305296f23

08731ac376f3d6af690d45214d4644f3c42930a1

2a8d9d7210f216f00aa9c7d301d7ceb95aa37fad

64c92cc638e3be9377d03209eda8b785ceb5de4e

ff22a77a03c10e2ad244923f4e94d64e00551a94

b7f4442990811a1c456bce83f403febefdac6cc6

9b78982db7520f226169cd1bb6a704a7dfac951c

23e2b70c2070e15e993bd00f3be8afb89111b92b

117d558fca1c7dcfff59702cb9393486ec368e47

ae76db7f24a111ca022b00d29fb08cc76cbab41b

点击链接下载报告：http://pan.baidu.com/s/1i48V5Et

nat

第一个支持火绒！

Nobuchika

反應速度很快,不錯

肆随飗林

前排留名

莒县小哥

支持支持。。。。。。。。。。。。

pewu5

你们这样扒人家，真的好吗？

tnti

看来又要被人寄刀片了...

不忿小奇

赞，没想到流氓软件还有正规公司注册，火球这个名字，我感觉是故意打击火绒的吗，可能有利益伤害到他们了，百度的瑞星的前段时间某些问题

半截冰棍

擦，猛一看：国产流氓软件“火绒”全球作恶——受害者众多引起公愤！！！！？？？什么鬼，
仔细一看........原来是              火球

yxiaocai

我也差点看错

Kerin

火绒这么耿直简直不像话

折戟沉沙

支持火绒！

382069849

pewu5 发表于 2017-6-3 10:49
你们这样扒人家，真的好吗？

扒掉才好，不扒会继续做恶

sakura_lemon

无论做什么事，都应当有自己的行为规范。

hoohurtle

http://blog.checkpoint.com/2017/06/01/fireball-chinese-malware-250-million-infection/
影响太大，国外带头扒了，国内当然争先恐后扒啦。
GOING UNDER THE RADAR

While the distribution of Fireball is both malicious and illegitimate, it actually carries digital certificates imparting them a legitimate appearance. Confused? You should be.

Rafotech carefully walks along the edge of legitimacy, knowing that adware distribution is not considered a crime like malware distribution is. How is that? Many companies provide software or services for free, and make their profits by harvesting data or presenting advertisements. Once a client agrees to the installment of extra features or software to his/her computer, it is hard to claim malicious intent on behalf of the provider.

This gray zone led to the birth of a new kind of monetizing method – bundling. Bundling is when a wanted program installs another program alongside it, sometimes with a user’s authorization and sometimes without. Rafotech uses bundling in high volume to spread Fireball.