国产流氓软件“火球”全球作恶 受害者众多引起公愤

简介: 本文讲的是国产流氓软件“火球”全球作恶 受害者众多引起公愤,6月1日,知名安全公司CheckPoint发布报告称,发现了由中国公司控制的流氓软件“火球(Fireball)”,因受害者众多,已经引起国外安全机构的重视。
本文讲的是 国产流氓软件“火球”全球作恶 受害者众多引起公愤

一、综述

6月1日,知名安全公司CheckPoint发布报告称,发现了由中国公司控制的流氓软件“火球(Fireball)”,因受害者众多,已经引起国外安全机构的重视。

在“火球(Fireball)”事件中,火绒安全团队发现了野马浏览器、Deal Wifi软件等8款流氓软件,这些流氓软件感染电脑后会将Chrome浏览器的首页、TAB页改为随机生成的搜索页,而用户无法更改。虽然页面各不相同,但搜索页均抓取雅虎和谷歌数据,火绒安全团队推测,流氓软件制造者以控制用户点击雅虎和谷歌的广告牟利。

流氓软件在安装时会检测电脑是否有Chrome浏览器,若没有则相安无事,若有则会提示用户安装一个Chrome插件,不安装插件就不能安装软件。

虽然这些软件来自国内卿烨科技、百盛达科技等多家公司,但是火绒安全团队通过追踪发现,其均由同一作者“baoyu430@gmail.com”制作。作者注册不同网站,制作了一批流氓软件。

这些软件只攻击Chrome浏览器,但考虑到Chrome浏览器在国外的市场占有率,“火球(Fireball)”事件可谓影响巨大,国内Chrome用户也可能收到挟持。

用户可以通过卸载这些流氓软件恢复Chrome浏览器的设置。当然,另一种更省力的方法是开启火绒安全软件,火绒安全软件已可全面查杀“火球(Fireball)”事件涉及的流氓软件,建议用户下载安装最新版火绒安全软件。

这次“火球(Fireball)”事件虽然在外国爆发,但其“作案手法”在国内早已屡见不鲜,可以看出国内的网络犯罪手法正在向国际蔓延。

二、事件分析

近期火球(FireBall)事件中,涉事软件存在劫持Chrome浏览器首页及新标签页的恶意行为。经过火绒追查,发现更多软件涉及此次事件,如下图所示:

国产流氓软件“火球”全球作恶  受害者众多引起公愤

软件列表

以“Deal WiFi”软件为例,安装如下图所示,如果用户不勾选 "Set mystart.dealwifi.com as your chrome homepage and new tab",则无法继续安装。如下图所示:

国产流氓软件“火球”全球作恶  受害者众多引起公愤

安装

勾选后使用火绒剑监控“Deal WiFi”安装过程,可以看到程序在后台安装了一个Chrome插件,如下图所示:

国产流氓软件“火球”全球作恶  受害者众多引起公愤

安装Chrome插件

该插件会“劫持”Chrome的设置界面,如下图所示:

国产流氓软件“火球”全球作恶  受害者众多引起公愤

劫持Chrome首页及新标签创建页面

Chrome浏览器的首页被修改为hxxps://mystart.dealwifi.com/?type=apps,如下图所示:

国产流氓软件“火球”全球作恶  受害者众多引起公愤

搜索劫持

这些流氓程序安装流程一样,都会强制安装一个名称和所装软件名称一样的Chrome插件。这些插件功能完全相同,都是锁定首页和新标签页的URL,其中名为"Soso Desktop"的流氓软件还强制修改默认搜索引擎。

与国内一般的添加带有首页推广号的锁首方式不同,病毒插件锁定的根据安装的流氓软件不同搜索页面也不相同如下表:

国产流氓软件“火球”全球作恶  受害者众多引起公愤

不同软件劫持的网址

我们通过对比搜索结果可以发现,除 Holainput锁定的搜索页面最终结果会跳转Google外,其余搜索页面和hxxps://www.yahoo.com的搜索结果一致,后台疑似使用Yahoo的搜索结果。但是无论使用的是Google还是Yahoo,病毒服务器都可以记录用户的搜索内容,对用户的搜索信息隐私安全造成威胁。

经过火绒追查,诸多上述恶意软件的注册信息中都出现了注册人鲍雨与其注册所使用电子邮箱“baoyu430@gmail.com”。通过搜索卿烨科技有限公司的工商信息,我们发现名为卿烨科技的公司共有五家,其中与病毒存在直接关系的公司共有三家,分别为卿烨科技(北京)有限责任公司(下文称北京卿烨)、卿烨科技(上海)有限责任公司北京卿烨雨林分公司(下文称上海卿烨北京分公司)和卿烨科技(上海)有限责任公司(上海卿烨)。经过我们对企业信息的梳理与筛查,我们初步理清了与病毒相关的公司运作关系,如下图所示:

国产流氓软件“火球”全球作恶  受害者众多引起公愤

涉事公司关系图

在整个公司运营中,最主要的涉事人为马琳和鲍雨,马琳为相关公司的最主要出资人,鲍雨为主要经理人。

北京朗基努斯投资中心股东信息中,只有马琳和鲍雨,该公司以相对控股方式控制卿烨科技(上海)有限责任公司。该公司的主要职能为进行资本,进行对外投资整合资源。

上海卿烨主要负责开发进行流量劫持的浏览器插件和国内外相关网站服务的开发,并且通过对外投资以绝对控股方式控制着北京卿烨,同时设有下属分支公司上海卿烨北京分公司。在该公司产权信息中,我们发现了传播恶意插件的软件,如下图所示:

国产流氓软件“火球”全球作恶  受害者众多引起公愤

上海卿烨产权信息

我们还在招聘网站找到了该公司的招聘信息,如下图所示:

国产流氓软件“火球”全球作恶  受害者众多引起公愤

上海卿烨招聘信息

北京卿烨主要负责软件及游戏开发,其开发的软件为劫持流量的传播载体,软件诸如:Deal WiFi、Soso Desktop和FVP Imageviewer等。在该公司产权信息中,我们发现了更多携带流氓推广的软件,如下图所示:

国产流氓软件“火球”全球作恶  受害者众多引起公愤

北京卿烨产权信息

上海卿烨北京分公司主要负责流量劫持的浏览器开发。该公司公示的招聘信息,如下图所示:

国产流氓软件“火球”全球作恶  受害者众多引起公愤

上海卿烨北京分公司招聘信息

三、附录

样本SHA1:

国产流氓软件“火球”全球作恶  受害者众多引起公愤




原文发布时间为:2017年6月5日
本文作者:火绒安全实验室
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
1天前
|
机器学习/深度学习 供应链 监控
供应链软件供应商遭勒索软件攻击 包括星巴克在内的多家巨头受影响
供应链软件供应商遭勒索软件攻击 包括星巴克在内的多家巨头受影响
|
4月前
|
SQL 安全 网络安全
【惊心动魄】揭秘网络暗黑势力!全面解析网站安全攻击手段及防御秘籍,助你构筑坚不可摧的数字堡垒!
【8月更文挑战第13天】随着互联网发展,网站成为信息和服务的关键渠道,但也面临黑客攻击的风险。本文介绍几种常见攻击及其防御方法:SQL注入可通过参数化查询预防;XSS攻击需对数据严格过滤和编码;CSRF攻击则需使用唯一令牌验证;文件上传漏洞应限制文件类型并验证;DDoS攻击可借助CDN和防火墙缓解。维护网站安全需持续监控和更新防护策略。
98 11
|
安全
骇客宣称已入侵多家认证机构 波及微软、谷歌
今年3月入侵Comodo凭证机构的伊朗黑客ComodoHacker宣布,他入侵的凭证机构包括DigiNotar、StartCom与 GlobalSign在内。 今年3月入侵Comodo凭证机构的伊朗黑客ComodoHacker本周透过Pastebin宣布,他不但是骇进Comodo的元凶,也入侵其他4家高知名度的凭证机构,包括DigiNotar、StartCom与GlobalSign在内。
962 0
|
存储 安全
瑞星:“云攻击”已成现实
“1亿零53万人次网民遭钓鱼网站侵袭,给中国网民造成的直接经济损失至少在百亿级别。假淘宝网站、假腾讯网站、假工商银行网站、假中国银行网站,占据了钓鱼网站的前四位。” 19日,《瑞星2011上半年互联网安全报告》出炉,瑞星安全专家表示,“云攻击”(Threats to Cloud)已成现实,储存了大量用户资料和行为的“云提供商”,例如微博、社交网站、网络存储,甚至包括传统的电信运营商和酒店业者,正在面临前所未有的安全风险。
751 0
|
安全 网络协议
纽约时报:安全问题将毁掉整个互联网
  越来越多的网络工程师和安全专家认为,要彻底解决当前的互联网安全和隐私问题,只能是放弃当前的网络而打造新的互联网。   至于新的互联网到底是什么样,目前仍在广泛探讨中。但有一点几乎可以肯定,必须要打造一个相对“封闭的社区”。
1006 0
|
安全
卡巴斯基反病毒软件已占据西班牙杀软市场半壁江山
        卡巴斯基实验室公布了2009年3月西班牙GfK零售及技术研究分析结果,调查显示卡巴斯基实验室产品又一次摘取了西班牙市场反病毒程序销售的桂冠。         卡巴斯基实验室反病毒产品在零售渠道占据了65%的销量,而反病毒软件2009三用户套装在3月销量排名位居第一。
1038 0
|
安全
英特尔曾遭“经验老道”的黑客攻击
据华尔街日报报道,英特今年1月份曾遭遇一次“经验老道”的网络攻击﹐发生时间与谷歌公司报告遭到类似攻击的时间相近。 英特尔在向美国证券与交易委员会(Security and Exchange Commission)提交的年度文件中表示﹐公司时常面临黑客试图攻入其信息技术系统的危险。
548 0