火绒安全软件
标题: 国产流氓软件“火球”全球作恶——受害者众多引起公愤 [打印本页]
作者: huoronganquan 时间: 2017-6-2 22:37
标题: 国产流氓软件“火球”全球作恶——受害者众多引起公愤
一、综述
6月1日,知名安全公司CheckPoint发布报告称,发现了由中国公司控制的流氓软件“火球(Fireball)”,因受害者众多,已经引起国外安全机构的重视。
在“火球(Fireball)”事件中,火绒安全团队发现了野马浏览器、Deal Wifi软件等8款流氓软件,这些流氓软件感染电脑后会将Chrome浏览器的首页、TAB页改为随机生成的搜索页,而用户无法更改。虽然页面各不相同,但搜索页均抓取雅虎和谷歌数据,火绒安全团队推测,流氓软件制造者以控制用户点击雅虎和谷歌的广告牟利。
流氓软件在安装时会检测电脑是否有Chrome浏览器,若没有则相安无事,若有则会提示用户安装一个Chrome插件,不安装插件就不能安装软件。
虽然这些软件来自国内卿烨科技、百盛达科技等多家公司,但是火绒安全团队通过追踪发现,其均由同一作者“
baoyu430@gmail.com”制作。作者注册不同网站,制作了一批流氓软件。
这些软件只攻击Chrome浏览器,但考虑到Chrome浏览器在国外的市场占有率,“火球(Fireball)”事件可谓影响巨大,国内Chrome用户也可能收到挟持。
用户可以通过卸载这些流氓软件恢复Chrome浏览器的设置。当然,另一种更省力的方法是开启火绒安全软件,火绒安全软件已可全面查杀“火球(Fireball)”事件涉及的流氓软件,建议用户下载安装最新版火绒安全软件。
这次“火球(Fireball)”事件虽然在外国爆发,但其“作案手法”在国内早已屡见不鲜,可以看出国内的网络犯罪手法正在向国际蔓延。
二、事件分析
近期火球(FireBall)事件中,涉事软件存在劫持Chrome浏览器首页及新标签页的恶意行为。经过火绒追查,发现更多软件涉及此次事件,如下图所示:
软件列表
以“Deal WiFi”软件为例,安装如下图所示,如果用户不勾选 "Set mystart.dealwifi.com as your chrome homepage and newtab",则无法继续安装。如下图所示:
安装
勾选后使用火绒剑监控“DealWiFi”安装过程,可以看到程序在后台安装了一个Chrome插件,如下图所示:
安装Chrome插件
该插件会“劫持”Chrome的设置界面,如下图所示:
劫持Chrome首页及新标签创建页面
搜索劫持
这些流氓程序安装流程一样,都会强制安装一个名称和所装软件名称一样的Chrome插件。这些插件功能完全相同,都是锁定首页和新标签页的URL,其中名为"Soso Desktop"的流氓软件还强制修改默认搜索引擎。
与国内一般的添加带有首页推广号的锁首方式不同,病毒插件锁定的根据安装的流氓软件不同搜索页面也不相同如下表:
不同软件劫持的网址
我们通过对比搜索结果可以发现,除 Holainput锁定的搜索页面最终结果会跳转Google外,其余搜索页面和hxxps://www.yahoo.com的搜索结果一致,后台疑似使用Yahoo的搜索结果。但是无论使用的是Google还是Yahoo,病毒服务器都可以记录用户的搜索内容,对用户的搜索信息隐私安全造成威胁。
经过火绒追查,诸多上述恶意软件的注册信息中都出现了注册人鲍雨与其注册所使用电子邮箱“
baoyu430@gmail.com”。通过搜索卿烨科技有限公司的工商信息,我们发现名为卿烨科技的公司共有五家,其中与病毒存在直接关系的公司共有三家,分别为卿烨科技(北京)有限责任公司(下文称北京卿烨)、卿烨科技(上海)有限责任公司北京卿烨雨林分公司(下文称上海卿烨北京分公司)和卿烨科技(上海)有限责任公司(上海卿烨)。经过我们对企业信息的梳理与筛查,我们初步理清了与病毒相关的公司运作关系,如下图所示:
涉事公司关系图
在整个公司运营中,最主要的涉事人为马琳和鲍雨,马琳为相关公司的最主要出资人,鲍雨为主要经理人。
北京朗基努斯投资中心股东信息中,只有马琳和鲍雨,该公司以相对控股方式控制卿烨科技(上海)有限责任公司。该公司的主要职能为进行资本,进行对外投资整合资源。
上海卿烨主要负责开发进行流量劫持的浏览器插件和国内外相关网站服务的开发,并且通过对外投资以绝对控股方式控制着北京卿烨,同时设有下属分支公司上海卿烨北京分公司。在该公司产权信息中,我们发现了传播恶意插件的软件,如下图所示:
上海卿烨产权信息
我们还在招聘网站找到了该公司的招聘信息,如下图所示:
上海卿烨招聘信息
北京卿烨主要负责软件及游戏开发,其开发的软件为劫持流量的传播载体,软件诸如:Deal WiFi、Soso Desktop和FVP Imageviewer等。在该公司产权信息中,我们发现了更多携带流氓推广的软件,如下图所示:
北京卿烨产权信息
上海卿烨北京分公司主要负责流量劫持的浏览器开发。该公司公示的招聘信息,如下图所示:
上海卿烨北京分公司招聘信息
三、附录
样本SHA1:
0f6df3d425c0f2e60eca1cd8a20106c305296f23 |
08731ac376f3d6af690d45214d4644f3c42930a1 |
| 2a8d9d7210f216f00aa9c7d301d7ceb95aa37fad |
64c92cc638e3be9377d03209eda8b785ceb5de4e |
| ff22a77a03c10e2ad244923f4e94d64e00551a94 |
|
| b7f4442990811a1c456bce83f403febefdac6cc6 |
9b78982db7520f226169cd1bb6a704a7dfac951c |
| 23e2b70c2070e15e993bd00f3be8afb89111b92b |
117d558fca1c7dcfff59702cb9393486ec368e47 |
ae76db7f24a111ca022b00d29fb08cc76cbab41b |
作者: nat 时间: 2017-6-2 22:46
第一个支持火绒!
作者: Nobuchika 时间: 2017-6-3 00:46
反應速度很快,不錯
作者: 肆随飗林 时间: 2017-6-3 01:34
前排留名
作者: 莒县小哥 时间: 2017-6-3 10:38
支持支持。。。。。。。。。。。。
作者: pewu5 时间: 2017-6-3 10:49
你们这样扒人家,真的好吗?
作者: tnti 时间: 2017-6-3 11:48
看来又要被人寄刀片了...
作者: 不忿小奇 时间: 2017-6-3 13:40
赞,没想到流氓软件还有正规公司注册,火球这个名字,我感觉是故意打击火绒的吗,可能有利益伤害到他们了,百度的瑞星的前段时间某些问题
作者: 半截冰棍 时间: 2017-6-3 14:55
擦,猛一看:国产流氓软件“火绒”全球作恶——受害者众多引起公愤!!!!???什么鬼,
仔细一看........原来是 火球
作者: yxiaocai 时间: 2017-6-3 17:20
我也差点看错
作者: Kerin 时间: 2017-6-3 17:40
火绒这么耿直简直不像话
作者: 折戟沉沙 时间: 2017-6-4 11:11
支持火绒!
作者: 382069849 时间: 2017-6-4 11:23
扒掉才好,不扒会继续做恶
作者: sakura_lemon 时间: 2017-6-4 12:15
无论做什么事,都应当有自己的行为规范。
作者: hoohurtle 时间: 2017-6-4 13:11
http://blog.checkpoint.com/2017/06/01/fireball-chinese-malware-250-million-infection/
影响太大,国外带头扒了,国内当然争先恐后扒啦。
GOING UNDER THE RADAR
While the distribution of Fireball is both malicious and illegitimate, it actually carries digital certificates imparting them a legitimate appearance. Confused? You should be.
Rafotech carefully walks along the edge of legitimacy, knowing that adware distribution is not considered a crime like malware distribution is. How is that? Many companies provide software or services for free, and make their profits by harvesting data or presenting advertisements. Once a client agrees to the installment of extra features or software to his/her computer, it is hard to claim malicious intent on behalf of the provider.
This gray zone led to the birth of a new kind of monetizing method – bundling. Bundling is when a wanted program installs another program alongside it, sometimes with a user’s authorization and sometimes without. Rafotech uses bundling in high volume to spread Fireball.
作者: hoohurtle 时间: 2017-6-4 19:23
其实,这次“火球”闯祸了,仅仅也许仅仅只是因为他们没有预计到,他们的设计效果“过于美好”而已。
我相信,应该有不少人已经发现一个事实:原来做杀毒软件的人和原来做病毒的人,现在转行改做流氓软件了,也许就是因为他们的有一个共同的目标——流量和流量背后的钱。这个情况的产生,推行的杀毒软件免费化的周先生有着不可推卸的责任。
不过让我们倍感欣慰的是,火绒人不在安全软件上过多捆绑广告,尽量不流氓,算得上有底线,他们这样做,与流氓主流格格不入。流氓之路,毕竟不是阳光大道,最终应该是不通的,但这个时间还要多久,还真不清楚。火绒这样做,也断了自己的财路,除了靠技术输出给别人做项目等挣钱外,像我们这些外行人,很难想像火绒团队是如何熬过来的,所以建议大家动手点点本论坛的“帮助我们”鼓励一下火绒。
作者: huoronganquan 时间: 2017-6-5 11:24
衷心感谢~有您的支持是我们最大的动力
作者: wwwzsdf 时间: 2017-6-5 12:44
支持一下,火绒还是棒棒哒
作者: JackZhang 时间: 2017-6-5 14:01
支持!只为打造国内的安全绿色的上网环境!
作者: w-tekeze 时间: 2017-6-7 16:43
给你点赞!
作者: w-tekeze 时间: 2017-6-7 16:53
这个事真丢中国人的脸啊,山姆大叔不就老说咱们政府纵容黑客攻击吗?这回川普不会又对我们放炮吧?
作者: w-tekeze 时间: 2017-6-7 16:58
话说黑客攻击成功了,还能替咱长长脸,关键时刻也许还能保家卫国
,可这人人喊打的流氓行径……唉,丢大啦
作者: 追求纯净 时间: 2017-6-8 22:34
有些人为了利益,真是没有任何底线。国内的互联网环境都被搞成什么乱七八糟的样子了。以前下个软件轻轻松松,现在呢,不仔细找都找不到真正的下载地方,千方百计地误导用户。比如“高速下载”。下载好了,还有安装这个坑在等着,捆绑各种软件。卸载的时候,一个劲地卖萌——“残忍卸载”、“主人,我不在的日子里,你要好好照顾自己”……
作者: good2day 时间: 2017-6-10 15:06
太流氓了,如同菜鸟物流
作者: 到处闲逛 时间: 2017-6-12 14:41
支持
作者: 657870790 时间: 2017-6-12 17:19
支持绒绒······
作者: akgl 时间: 2017-6-14 08:43
火绒威武!
作者: hmybskl 时间: 2017-6-17 22:43
支持火绒
作者: fqx741292949 时间: 2017-7-2 12:46
朝机箱浇点水- v -
作者: arlly 时间: 2017-7-6 18:40
这样的公司,应该铲除
作者: arlly 时间: 2017-7-6 18:43
他们公司电话还有人接。 我组织一下,打死它们
作者: pick 时间: 2017-7-9 07:11
厉害了,这玩意
作者: 44421228 时间: 2017-7-25 11:07
http://m.sp2.uczzd.cn/webview/news?app=uc-iflow&aid=13091786479566907021&cid=100&zzd_from=uc-iflow&uc_param_str=dndsfrvesvntnwpfgicpbi&recoid=11648586295337359997&rd_type=reco&sp_gz=4。 警方已破案
作者: yonxi3 时间: 2017-7-25 12:53
44421228 发表于 2017-7-25 11:07
http://m.sp2.uczzd.cn/webview/news?app=uc-iflow&aid=13091786479566907021&cid=100&zzd_from=uc-iflow&u ...
干得好!!!
作者: djaj520 时间: 2017-12-4 21:01
哈哈哈哈哈哈!我也是呢 
作者: djaj520 时间: 2017-12-4 21:03
这次“火球(Fireball)”事件虽然在外国爆发,但其“作案手法”在国内早已屡见不鲜,可以看出国内的网络犯罪手法正在向国际蔓延。
怎么我突然感觉我们国内的黑客大大也好腻害的样子!
作者: EggHunt 时间: 2018-2-23 20:31
我们的特色国产流氓终于转出口了吗?
作者: EggHunt 时间: 2018-2-23 21:24
@CANDY77 建议增加对这几个软件的识别和杀毒,可以通过证书来识别。
普通用户也可以通过将证书安装到 不受信任的证书 中以防止安装。
fireball_malware_untrusted_cert.zip
(1.42 KB, 下载次数: 0)
