Fireball真相:一个菜鸟级流氓软件竟让老外如临大敌

简介: 本文讲的是Fireball真相:一个菜鸟级流氓软件竟让老外如临大敌,近日,知名安全公司Check Point发布的一篇报告在业内引发了不小的震动。报告中称,一个来自中国的名为Fireball(火球)的恶意软件(原文给出的定性:malware)传播量达到2.5亿,恐会“引发全球灾难”。
本文讲的是 Fireball真相:一个菜鸟级流氓软件竟让老外如临大敌近日,知名安全公司Check Point发布的一篇报告在业内引发了不小的震动。报告中称,一个来自中国的名为Fireball(火球)的恶意软件(原文给出的定性:malware)传播量达到2.5亿,恐会“引发全球灾难”。

360第一时间找到了相关程序样本,并进行了分析。现在,我们不妨换个视角来谈谈这个Fireball到底是怎么回事儿。

 “复杂的”恶意软件

“复杂的”恶意软件这个评价并不是我们给出的,而是Check Point给出的。(原文:'sophisticated' malware)

那么,究竟这款恶意软件有多么的“复杂”呢?

首先,Fireball相关的恶意软件,会在安装时强制用户勾选同意修改Chrome浏览器主页和新标签页的选项。

然后,恶意软件会向Chrome浏览器中添加相关的扩展程序(也就是很多人俗称的Chrome浏览器插件——虽然这个叫法并不准确)。经分析,扩展程序会通过Manifest.json配置文件,修改Chrome浏览器的主页、起始页和新标签页(截图以DealWifi为例):

manifest.json内容(重点是两个“overrides”)


Fireball真相:一个菜鸟级流氓软件竟让老外如临大敌

newtab.html内容


Fireball真相:一个菜鸟级流氓软件竟让老外如临大敌

最后——就没有了!是的,就这么“复杂”。 

当然,强制勾选+修改浏览器配置,这已经足够定性为“恶意”了。但说到实质性的“威胁”,Check Point基于全球2.5亿的传播量来说,认为可能“引发全球灾难”,但同时也提到了——只是“有这个能力”而已。(原文:has the power to "initiate a global catastrophe")

恶意?流氓!

恶意软件(malware)的说法其实是非常宽泛的,基本可以认为:凡是被安全软件以正当理由拦截的软件(上到蠕虫、木马,下到广告程序)都是恶意软件。但具体到这次的Fireball家族,其实在国内有一个更为大家所熟知的名字——流氓软件。

说到流氓软件,相信国内广大群众都是非常熟悉的。如果把我们对流氓软件的一贯认知套用在这次Fireball事件上,Fireball的行为在“流氓软件”的这个分类中,已经算是很厚道的了。

其一,有安装界面,并且提供明显的勾选项让用户去勾选:

Fireball真相:一个菜鸟级流氓软件竟让老外如临大敌

试问,国内有几个流氓软件能有安装界面?有安装界面的有几个能让你勾选的?有勾选项的真能让你看到么?

其二,有卸载项:

Fireball真相:一个菜鸟级流氓软件竟让老外如临大敌

“并没有隐藏卸载项”光凭这一点就比国内某些“正常软件”厚道到不知哪里去了。

其三,卸载项真的管用。换句话说,就是真的能够通过正常的软件卸载方法成功移除该软件。

说实话,真正的核心“流氓”行为其实就在于第一步勾选设置Chrome主页和新标签的选项是强制的,不选不让装。

Fireball真相:一个菜鸟级流氓软件竟让老外如临大敌

“墙内开花”缘何“墙外香”?

根据Check Point披露的数据,这款来自中国的恶意程序感染重灾区,前五名分别是印度、巴西、墨西哥、印度尼西亚和美国,在中国的传播量却并不多。这枝“墙内花”为何会“墙外香”呢?(当然,准确地说应该是墙外“臭”)

其实原因很简单——这类软件在中国生存,太艰难了。

早在2014年,360就发布了分析报告《流氓推广那些事》,当时一款伪装成色情播放器的软件,通过云控列表,在完全没有任何勾选和提示的情况下,一次性地向用户电脑推广了24款软件,其流氓行为至今仍令人咋舌。

Fireball真相:一个菜鸟级流氓软件竟让老外如临大敌

推广程序之多,当时甚至把测试用的虚拟机给卡死了:

Fireball真相:一个菜鸟级流氓软件竟让老外如临大敌

流氓软件的出现早在2014年以前,在发布这篇报告的时候,流氓软件在国内已经成气候甚至是成产业地在运作了。

2015年,360又发布了博文《一不留神就被别人当枪使的年代》,流氓软件不仅自身行为流氓,还通过伪装杀毒软件弹窗来误导用户主动去下载和安装流氓软件:

Fireball真相:一个菜鸟级流氓软件竟让老外如临大敌

当然,流氓软件推广的程序的场景依然丧心病狂:

Fireball真相:一个菜鸟级流氓软件竟让老外如临大敌

同年,我们还发现了利用更为成熟的木马手段进行传播的流氓软件——《云控攻击之“人生在世”木马分析

该流氓软件使用了木马手段,伪装成“小马激活”工具,利用三重ShellCode去加载恶意代码。在恶意代码“不落地”的情况下完成攻击,而最终的目的,就是进行流氓推广赚取推广佣金。

之后,我们还发布了《来自播放器的你——“中国插件联盟”木马分析》来分析利用广告页面挂马的方法入侵用户机器进行流氓推广的流氓软件,以及发布《木马盗用“风行播放器签名”流氓推广》来阐述一款通过盗用正常软件签名进行流氓推广的流氓软件。

而就在上个月,我们还发现了一款与Fireball性质非常类似,而行为却恶劣得多的流氓软件。该软件伪装成色情播放器:

Fireball真相:一个菜鸟级流氓软件竟让老外如临大敌

一旦双击,全程无安装界面静默安装。安装后该软件会向系统中导入证书:

Fireball真相:一个菜鸟级流氓软件竟让老外如临大敌

通过这种方法劫持大量国内知名站点的HTTPS访问。以360自己的导航网站为例,一旦让该流氓软件成功在机器上运行。360导航的页面将被插入一个1224ssltuiu.js脚本,进而劫持导航页面中的搜索框,篡改为其他搜索引擎。

Fireball真相:一个菜鸟级流氓软件竟让老外如临大敌

以上仅是一例,被劫持的并不只有360导航而已。其涉及网站之多,仅从流氓软件导入到系统的证书所签发的域名便可见一斑:

Fireball真相:一个菜鸟级流氓软件竟让老外如临大敌

国内流氓软件在与安全软件的对抗中,手段不断升级。而相对的,国内安全软件也在一代又一代流氓软件的洗礼下,实现了监控、查杀、拦截手段的日臻成熟。反观Fireball的这种手法,着实算不得高明。这种程度的推广手法,在国内安全软件面前,可以说是毫无招架之力。

提高警惕,不必恐慌

综上所述,这次的Fireball事件只是国产流氓软件的一次“外销”事件。Fireball不仅在国内传播量很小,在与国内安全软件的对抗中更是毫无威胁可言。所以大家只需对此类流氓软件提高警惕,安装并开启安全软件并及时更新即可。毕竟,我们什么大场面我们没见过!




原文发布时间为:2017年6月4日
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
Windows
分享5款好用到爆的神仙软件
最近陆陆续续收到好多小伙伴的咨询,这边也是抓紧时间整理出几个好用的软件,希望可以帮到大家。
103 0
|
Java 容器
遭不住了!阿里的JDK源码剖析手册真的是我不花钱就能看的吗?
为什么要看JDK源码? JDK源码是其它所有源码的基础,看懂了JDK源码再看其它的源码会达到事半功倍的效果。
92 0
|
JavaScript 前端开发 程序员
珍藏多年的神网站都捐了,你需要的我都有,有了这些网站工作生活不用愁(二)
珍藏多年的神网站都捐了,你需要的我都有,有了这些网站工作生活不用愁(二)
168 0
|
Windows
谈一谈|下载软件的门道你懂吗?
谈一谈|下载软件的门道你懂吗?
136 0
|
程序员
程序员十大常规内卷操作,你学废了吗?
现阶段内卷已经成为互联网行业的专有名词,在很多公司,内卷的程度则代表着员工的努力程度,本文尝试教授十招程序员内卷操作,学完过后,帮助你干啥啥不行,内卷第一名。
|
数据中心
阿里云黑科技太厉害了 脑子进水还算得更快
热得快可以快速烧水是利用了浸没的优势,那么如果要降温呢? 阿里云科学家在4月26日的云栖大会·南京峰会上展示了全浸没的“凉得快”服务器——麒麟,把整台服务器浸在液体里循环冷却,这一方案可以无需使用空调,能源使用率(PUE)逼近了理论极限值1.0。
1669 0
|
Web App开发 安全 Windows
微博疯传电脑提速“秘技” 360安全专家称纯属忽悠
 近来,一则为Windows XP用户提升网速的“电脑小技巧”风靡网上,在各大微博被转发数万次。该文称:“Windows XP自动保留了20%的网速,通过一定设置取消带宽限制,就可以使用100%的网速”。
899 0
|
Java 程序员 Spring
Java开发程序员遇危机,才31竟遭公司嫌弃,网友:还拿着6k等死?
程序员会有中年危机,一个很大的因素来自:我们曾经引以为傲、赖以生存的开发技术会被淘汰。而学习新开发技术成本太高。看着快速崛起的年轻人,不免使人心生:廉颇老矣的感慨。
1201 0
|
区块链
期待已久的区块链“杀手级应用” 为什么是一款撸猫软件?
期待已久的区块链“杀手级应用” 为什么是一款撸猫软件?
1395 0
下一篇
DataWorks