吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 56313|回复: 172
收起左侧

[PC样本分析] 国产流氓软件“火球”全球作恶 受害者众多引起公愤

    [复制链接]
火绒安全实验室 发表于 2017-6-2 22:31
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 此生长唸 于 2017-6-2 22:39 编辑

一、综述
      6月1日,知名安全公司CheckPoint发布报告称,发现了由中国公司控制的流氓软件“火球(Fireball)”,因受害者众多,已经引起国外安全机构的重视。
      在“火球(Fireball)”事件中,火绒安全团队发现了野马浏览器、DealWifi软件等8款流氓软件,这些流氓软件感染电脑后会将Chrome浏览器的首页、TAB页改为随机生成的搜索页,而用户无法更改。虽然页面各不相同,但搜索页均抓取雅虎和谷歌数据,火绒安全团队推测,流氓软件制造者以控制用户点击雅虎和谷歌的广告牟利。
      流氓软件在安装时会检测电脑是否有Chrome浏览器,若没有则相安无事,若有则会提示用户安装一个Chrome插件,不安装插件就不能安装软件。
      虽然这些软件来自国内卿烨科技、百盛达科技等多家公司,但是火绒安全团队通过追踪发现,其均由同一作者“baoyu430@gmail.com”制作。作者注册不同网站,制作了一批流氓软件。
这些软件只攻击Chrome浏览器,但考虑到Chrome浏览器在国外的市场占有率,“火球(Fireball)”事件可谓影响巨大,国内Chrome用户也可能收到挟持。
      用户可以通过卸载这些流氓软件恢复Chrome浏览器的设置。当然,另一种更省力的方法是开启火绒安全软件,火绒安全软件已可全面查杀“火球(Fireball)”事件涉及的流氓软件,建议用户下载安装最新版火绒安全软件。
这次“火球(Fireball)”事件虽然在外国爆发,但其“作案手法”在国内早已屡见不鲜,可以看出国内的网络犯罪手法正在向国际蔓延。
 
二、事件分析
      近期火球(FireBall)事件中,涉事软件存在劫持Chrome浏览器首页及新标签页的恶意行为。经过火绒追查,发现更多软件涉及此次事件,如下图所示:

1.png

软件列表
      以“DealWiFi”软件为例,安装如下图所示,如果用户不勾选"Setmystart.dealwifi.comasyourchromehomepageandnewtab",则无法继续安装。如下图所示:


2.png

安装
      勾选后使用火绒剑监控“DealWiFi”安装过程,可以看到程序在后台安装了一个Chrome插件,如下图所示:

3.png

安装Chrome插件
      该插件会“劫持”Chrome的设置界面,如下图所示:

4.png

劫持Chrome首页及新标签创建页面
      Chrome浏览器的首页被修改为hxxps://mystart.dealwifi.com/?type=apps,如下图所示:


5.png

搜索劫持
      这些流氓程序安装流程一样,都会强制安装一个名称和所装软件名称一样的Chrome插件。这些插件功能完全相同,都是锁定首页和新标签页的URL,其中名为"SosoDesktop"的流氓软件还强制修改默认搜索引擎。
      与国内一般的添加带有首页推广号的锁首方式不同,病毒插件锁定的根据安装的流氓软件不同搜索页面也不相同如下表:

6.png

不同软件劫持的网址
      我们通过对比搜索结果可以发现,除Holainput锁定的搜索页面最终结果会跳转Google外,其余搜索页面和hxxps://www.yahoo.com的搜索结果一致,后台疑似使用Yahoo的搜索结果。但是无论使用的是Google还是Yahoo,病毒服务器都可以记录用户的搜索内容,对用户的搜索信息隐私安全造成威胁。
      经过火绒追查,诸多上述恶意软件的注册信息中都出现了注册人鲍雨与其注册所使用电子邮箱“baoyu430@gmail.com”。通过搜索卿烨科技有限公司的工商信息,我们发现名为卿烨科技的公司共有五家,其中与病毒存在直接关系的公司共有三家,分别为卿烨科技(北京)有限责任公司(下文称北京卿烨)、卿烨科技(上海)有限责任公司北京卿烨雨林分公司(下文称上海卿烨北京分公司)和卿烨科技(上海)有限责任公司(上海卿烨)。经过我们对企业信息的梳理与筛查,我们初步理清了与病毒相关的公司运作关系,如下图所示:

7.png

涉事公司关系图
      在整个公司运营中,最主要的涉事人为马琳和鲍雨,马琳为相关公司的最主要出资人,鲍雨为主要经理人。
      北京朗基努斯投资中心股东信息中,只有马琳和鲍雨,该公司以相对控股方式控制卿烨科技(上海)有限责任公司。该公司的主要职能为进行资本,进行对外投资整合资源。
      上海卿烨主要负责开发进行流量劫持的浏览器插件和国内外相关网站服务的开发,并且通过对外投资以绝对控股方式控制着北京卿烨,同时设有下属分支公司上海卿烨北京分公司。在该公司产权信息中,我们发现了传播恶意插件的软件,如下图所示:

8.png

上海卿烨产权信息
      我们还在招聘网站找到了该公司的招聘信息,如下图所示:

9.png

上海卿烨招聘信息
      北京卿烨主要负责软件及游戏开发,其开发的软件为劫持流量的传播载体,软件诸如:DealWiFi、SosoDesktop和FVPImageviewer等。在该公司产权信息中,我们发现了更多携带流氓推广的软件,如下图所示:

10.png

北京卿烨产权信息
      上海卿烨北京分公司主要负责流量劫持的浏览器开发。该公司公示的招聘信息,如下图所示:

11.png

上海卿烨北京分公司招聘信息


三、附录

样本SHA1:

12.png


报告下载地址:http://pan.baidu.com/s/1i48V5Et

免费评分

参与人数 68吾爱币 +63 热心值 +65 收起 理由
爬爬山 + 1 + 1 谢谢@Thanks!
极大的石头 + 1 + 1 前排围观高手扒掉流氓的外皮
wlbxx341 + 1 + 1 谢谢@Thanks!
LGY418 + 1 + 1 谢谢@Thanks!
18736714720 + 1 + 1 热心回复!
longchaochun + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
MaxMadcc + 1 + 1 我很赞同!
冰域雪蝶 + 1 + 1 热心回复!
zkf0373 + 1 我很赞同!
狰。 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
snccwt + 1 + 1 用心讨论,共获提升!
Tomatoman + 1 + 1 用心讨论,共获提升!
i7_720qm + 1 + 1 谢谢@Thanks!
goliang1086 + 1 + 1 用心讨论,共获提升!
siuhoapdou + 1 + 1 谢谢@Thanks!
Layna + 1 + 1 用心讨论,共获提升!
lauuugh + 1 + 1 用心讨论,共获提升!
samkong + 1 + 1 已答复!
陈海涛 + 1 用心讨论,共获提升!
biubiufish + 1 + 1 我很赞同!
cheny736 + 1 + 1 习惯就好
oxxo119 + 1 我很赞同!
这是追求不是梦 + 1 + 1 我很赞同!
xaoxao + 1 用心讨论,共获提升!
guweioicq + 1 + 1 热心回复!
lihailewodege + 1 + 1 厉害了我的大牛
123456789we + 1 + 1 热心回复!
06754019 + 1 + 1 我很赞同!
htceo + 1 + 1 国内不是99%的软件都带捆绑吗
lyyl6116 + 1 + 1 我很赞同!
Faulkner_Mauric + 1 + 1 鼓励转贴优秀软件安全工具和文档!
xlycaq1 + 1 + 1 推广hao123/2345等,工信部都应该封杀这类网站,太恶心了
liuliu666 + 1 + 1 我很赞同!
守护神艾丽莎 + 1 + 1 流氓到国外,也是可以的
weikoo + 1 + 1 我很赞同!
小姜爱破解丶 + 1 + 1 热心回复!
小污王 + 1 + 1 用心讨论,共获提升!
活力无极限1944 + 1 + 1 热心回复!
jackliqiao + 1 + 1 热心回复!
shanhuyi + 1 + 1 谢谢@Thanks!
指导员 + 1 + 1 用心讨论,共获提升!
lnany + 1 + 1 腾讯 百度 360 不都是捆绑主页 外加全家桶套餐
战歌酒吧 + 1 + 1 用心讨论,共获提升!
EA7_AY + 1 已答复!
每当变幻时. + 1 + 1 我很赞同!
qidians + 1 + 1 热心回复!
谷子 + 1 + 1 热心回复!
一往情深深几许 + 1 + 1 谢谢@Thanks!
xiaofengzi + 1 + 1 热心回复!
等待记忆中 + 1 + 1 热心回复!
温柔xxx + 1 + 1 谢谢@Thanks!
ghostfire + 2 + 1 热心回复!
darkpoet + 1 + 1 谢谢@Thanks!
hushx169 + 1 + 1 国内这东西太多了,推广hao123/2345等,工信部都应该封杀这类网站,太恶心了
我为伊人KL + 1 + 1 谢谢@Thanks!
rixinyueyi20007 + 1 + 1 谢谢@Thanks!
123-木头人 + 1 + 1 谢谢@Thanks!
hawk18 + 1 谢谢@Thanks!
Kraken + 1 + 1 用心讨论,共获提升!
designld + 1 祸害外国人,可以的。。。。支持火球给国外看看啥
初级菜鸟 + 1 + 1 用心讨论,共获提升!
_达圣 + 1 + 1 火绒就是强
茫然唔错 + 1 + 1 楼下的,你只佩服某度啊,竟然敢轻视流氓鼻祖数字啊
13624715796 + 1 + 1 祸害外国人,可以的。。。。
zq8389937 + 1 虽然很恶,但是看到国产的由衷自豪感。。
官师傅 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
610100 + 1 谢谢@Thanks!
观世正宗 + 1 + 1 厉害了,但说到流氓软件我还是服某度全家桶

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

fuirtst 发表于 2017-6-2 22:39
唉,都是这样。。。。好123都流氓
caizzx 发表于 2017-6-2 22:48
xianjian311 发表于 2017-6-2 22:37
柿子i 发表于 2017-6-2 22:40
支持支持打击流氓软件
脸到用时方恨丑 发表于 2017-6-2 22:49
吓得 我赶紧看了看自己电脑右下角的火绒。还好还好。在呢。
yufan1123 发表于 2017-6-2 22:49
好厉害~~感谢大神的分析~
比较获益~
6767 发表于 2017-6-2 22:50
这又是黑产的路数了,还好只是劫持主页。谁知道他们下次干什么。。。
noah88 发表于 2017-6-2 23:06
djmkhyzz 发表于 2017-6-2 23:08
为了挣钱真的是什么事都能做的出来
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 22:37

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表