本文讲的是
Fireball真相:一个菜鸟级流氓软件竟让老外如临大敌,
近日,知名安全公司Check Point发布的一篇报告在业内引发了不小的震动。报告中称,一个来自中国的名为Fireball(火球)的恶意软件(原文给出的定性:malware)传播量达到2.5亿,恐会“引发全球灾难”。
360第一时间找到了相关程序样本,并进行了分析。现在,我们不妨换个视角来谈谈这个Fireball到底是怎么回事儿。
“复杂的”恶意软件
“复杂的”恶意软件这个评价并不是我们给出的,而是Check Point给出的。(原文:'sophisticated' malware)
那么,究竟这款恶意软件有多么的“复杂”呢?
首先,Fireball相关的恶意软件,会在安装时强制用户勾选同意修改Chrome浏览器主页和新标签页的选项。
然后,恶意软件会向Chrome浏览器中添加相关的扩展程序(也就是很多人俗称的Chrome浏览器插件——虽然这个叫法并不准确)。经分析,扩展程序会通过Manifest.json配置文件,修改Chrome浏览器的主页、起始页和新标签页(截图以DealWifi为例):
manifest.json内容(重点是两个“overrides”)
newtab.html内容
最后——就没有了!是的,就这么“复杂”。
当然,强制勾选+修改浏览器配置,这已经足够定性为“恶意”了。但说到实质性的“威胁”,Check Point基于全球2.5亿的传播量来说,认为可能“引发全球灾难”,但同时也提到了——只是“有这个能力”而已。(原文:has the power to "initiate a global catastrophe")
恶意?流氓!
恶意软件(malware)的说法其实是非常宽泛的,基本可以认为:凡是被安全软件以正当理由拦截的软件(上到蠕虫、木马,下到广告程序)都是恶意软件。但具体到这次的Fireball家族,其实在国内有一个更为大家所熟知的名字——流氓软件。
说到流氓软件,相信国内广大群众都是非常熟悉的。如果把我们对流氓软件的一贯认知套用在这次Fireball事件上,Fireball的行为在“流氓软件”的这个分类中,已经算是很厚道的了。
其一,有安装界面,并且提供明显的勾选项让用户去勾选:
试问,国内有几个流氓软件能有安装界面?有安装界面的有几个能让你勾选的?有勾选项的真能让你看到么?
其二,有卸载项:
“并没有隐藏卸载项”光凭这一点就比国内某些“正常软件”厚道到不知哪里去了。
其三,卸载项真的管用。换句话说,就是真的能够通过正常的软件卸载方法成功移除该软件。
说实话,真正的核心“流氓”行为其实就在于第一步勾选设置Chrome主页和新标签的选项是强制的,不选不让装。
“墙内开花”缘何“墙外香”?
根据Check Point披露的数据,这款来自中国的恶意程序感染重灾区,前五名分别是印度、巴西、墨西哥、印度尼西亚和美国,在中国的传播量却并不多。这枝“墙内花”为何会“墙外香”呢?(当然,准确地说应该是墙外“臭”)
其实原因很简单——这类软件在中国生存,太艰难了。
早在2014年,360就发布了分析报告《流氓推广那些事》,当时一款伪装成色情播放器的软件,通过云控列表,在完全没有任何勾选和提示的情况下,一次性地向用户电脑推广了24款软件,其流氓行为至今仍令人咋舌。
推广程序之多,当时甚至把测试用的虚拟机给卡死了:
流氓软件的出现早在2014年以前,在发布这篇报告的时候,流氓软件在国内已经成气候甚至是成产业地在运作了。
2015年,360又发布了博文《一不留神就被别人当枪使的年代》,流氓软件不仅自身行为流氓,还通过伪装杀毒软件弹窗来误导用户主动去下载和安装流氓软件:
当然,流氓软件推广的程序的场景依然丧心病狂:
同年,我们还发现了利用更为成熟的木马手段进行传播的流氓软件——《云控攻击之“人生在世”木马分析》
该流氓软件使用了木马手段,伪装成“小马激活”工具,利用三重ShellCode去加载恶意代码。在恶意代码“不落地”的情况下完成攻击,而最终的目的,就是进行流氓推广赚取推广佣金。
之后,我们还发布了《来自播放器的你——“中国插件联盟”木马分析》来分析利用广告页面挂马的方法入侵用户机器进行流氓推广的流氓软件,以及发布《木马盗用“风行播放器签名”流氓推广》来阐述一款通过盗用正常软件签名进行流氓推广的流氓软件。
而就在上个月,我们还发现了一款与Fireball性质非常类似,而行为却恶劣得多的流氓软件。该软件伪装成色情播放器:
一旦双击,全程无安装界面静默安装。安装后该软件会向系统中导入证书:
通过这种方法劫持大量国内知名站点的HTTPS访问。以360自己的导航网站为例,一旦让该流氓软件成功在机器上运行。360导航的页面将被插入一个1224ssltuiu.js脚本,进而劫持导航页面中的搜索框,篡改为其他搜索引擎。
以上仅是一例,被劫持的并不只有360导航而已。其涉及网站之多,仅从流氓软件导入到系统的证书所签发的域名便可见一斑:
国内流氓软件在与安全软件的对抗中,手段不断升级。而相对的,国内安全软件也在一代又一代流氓软件的洗礼下,实现了监控、查杀、拦截手段的日臻成熟。反观Fireball的这种手法,着实算不得高明。这种程度的推广手法,在国内安全软件面前,可以说是毫无招架之力。
提高警惕,不必恐慌
综上所述,这次的Fireball事件只是国产流氓软件的一次“外销”事件。Fireball不仅在国内传播量很小,在与国内安全软件的对抗中更是毫无威胁可言。所以大家只需对此类流氓软件提高警惕,安装并开启安全软件并及时更新即可。毕竟,我们什么大场面我们没见过!
原文发布时间为:2017年6月4日
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。