Quantcast

91大神,夯先生被抓了,勾引百名女性拍A片!

一个25岁的本科绿奴,把自己老婆跟亲妈奉献给住在隔壁的17岁主人

母子乱伦,隐秘而伟大?

女生群最近聊到的意大利吊灯式,到底是个什么样的体位?

妈妈和儿子长期保持性关系?我特么惊呆了!

Facebook Twitter

分享到微信朋友圈

点击图标下载本文截图到手机
即可分享到朋友圈。如何使用?

国产病毒“火球”感染2.5亿台电脑,20%企业中招,背后竟是一家中国广告公司?

2017-06-03 谢幺 宅客频道 宅客频道

雷锋网宅客频道招人了!我们需要若干对网络安全、云有兴趣,具有探索精神,对黑客与白帽子文化有一定了解的作者(官方职位是编辑)加入“宅客频道”报道团队。如果你有一定文字功底,文风活泼就更好了!工作地点:北京。我们将提供给你的是:与各大安全公司、各路黑客大牛亲密接触的机会+与你的工作相匹配的薪水。简历投递至:liqin@leiphone.com。欢迎关注公众号“宅客频道”。


宅客频道注:6月1日,知名安全公司 CheckPoint 发布报告称,发现了由中国公司控制的流氓软件“火球(Fireball)”,因受害者众多,已经引起国外安全机构的重视。火绒安全实验室第一时间对该事件样本和所属主体进行了分析。本文为详细事件分析, 宅客频道授权发布。


一、综述

6月1日,知名安全公司 CheckPoint 发布报告称,发现了由中国公司控制的流氓软件“火球(Fireball)”,因受害者众多,已经引起国外安全机构的重视。

在“火球(Fireball)”事件中,火绒安全团队发现了野马浏览器、Deal Wifi 软件等8款流氓软件,这些流氓软件感染电脑后会将 Chrome 浏览器的首页、TAB 页改为随机生成的搜索页,而用户无法更改。虽然页面各不相同,但搜索页均抓取雅虎和谷歌数据,火绒安全团队推测,流氓软件制造者以控制用户点击雅虎和谷歌的广告牟利。

流氓软件在安装时会检测电脑是否有 Chrome 浏览器,若没有则相安无事,若有则会提示用户安装一个 Chrome 插件,不安装插件就不能安装软件。

虽然这些软件来自国内卿烨科技、百盛达科技等多家公司,但是火绒安全团队通过追踪发现,其均由同一作者“baoyu430@gmail.com”制作。作者注册不同网站,制作了一批流氓软件。

这些软件只攻击 Chrome 浏览器,但考虑到Chrome浏览器在国外的市场占有率,“火球(Fireball)”事件可谓影响巨大,国内 Chrome 用户也可能收到挟持。

用户可以通过卸载这些流氓软件恢复 Chrome 浏览器的设置。目前火绒安全软件也已全面支持查杀“火球(Fireball)”事件涉及的流氓软件。

这次“火球(Fireball)”事件虽然在外国爆发,但其“作案手法”在国内早已屡见不鲜,可以看出国内的网络犯罪手法正在向国际蔓延。


二、事件分析

近期火球(FireBall)事件中,涉事软件存在劫持 Chrome 浏览器首页及新标签页的恶意行为。经过火绒追查,发现更多软件涉及此次事件,如下图所示:

▲ 恶意软件列表

以“Deal WiFi”软件为例,安装如下图所示,如果用户不勾选 "Set mystart.dealwifi.com as your chrome homepage and newtab",则无法继续安装。如下图所示:

勾选后使用火绒剑监控“DealWiFi”安装过程,可以看到程序在后台安装了一个 Chrome 插件,如下图所示:

该插件会“劫持”Chrome的设置界面,如下图所示:

▲ 劫持 Chrome 首页及新标签创建页面

Chrome 浏览器的首页被修改为 hxxps://mystart.dealwifi.com/?type=apps,如下图所示:

▲ 搜索劫持

这些流氓程序安装流程一样,都会强制安装一个名称和所装软件名称一样的 Chrome 插件。这些插件功能完全相同,都是锁定首页和新标签页的 URL,其中名为"Soso Desktop"的流氓软件还强制修改默认搜索引擎。

与国内一般的添加带有首页推广号的锁首方式不同,病毒插件锁定的根据安装的流氓软件不同搜索页面也不相同如下表:


▲ 不同软件劫持的网址

我们通过对比搜索结果可以发现,除 Holainput 锁定的搜索页面最终结果会跳转 Google 外,其余搜索页面和 hxxps://www.yahoo.com  的搜索结果一致,后台疑似使用 Yahoo 的搜索结果。

但是无论使用的是 Google 还是 Yahoo,病毒服务器都可以记录用户的搜索内容,对用户的搜索信息隐私安全造成威胁。

经过火绒追查,诸多上述恶意软件的注册信息中都出现了注册人鲍雨与其注册所使用电子邮箱“baoyu430@gmail.com”。

通过搜索卿烨科技有限公司的工商信息,我们发现名为卿烨科技的公司共有五家,其中与病毒存在直接关系的公司共有三家,分别为卿烨科技(北京)有限责任公司(下文称北京卿烨)、卿烨科技(上海)有限责任公司北京卿烨雨林分公司(下文称上海卿烨北京分公司)和卿烨科技(上海)有限责任公司(上海卿烨)。

经过我们对企业信息的梳理与筛查,我们初步理清了与病毒相关的公司运作关系,如下图所示:


在整个公司运营中,最主要的涉事人为马琳和鲍雨,马琳为相关公司的最主要出资人,鲍雨为主要经理人。

北京朗基努斯投资中心股东信息中,只有马琳和鲍雨,该公司以相对控股方式控制卿烨科技(上海)有限责任公司。该公司的主要职能为进行资本,进行对外投资整合资源。

上海卿烨主要负责开发进行流量劫持的浏览器插件和国内外相关网站服务的开发,并且通过对外投资以绝对控股方式控制着北京卿烨,同时设有下属分支公司上海卿烨北京分公司。在该公司产权信息中,我们发现了传播恶意插件的软件,如下图所示:


我们还在招聘网站找到了该公司的招聘信息,如下图所示:

北京卿烨主要负责软件及游戏开发,其开发的软件为劫持流量的传播载体,软件诸如:Deal WiFi、Soso Desktop 和 FVP Imageviewer 等。在该公司产权信息中,我们发现了更多携带流氓推广的软件,如下图所示:

上海卿烨北京分公司主要负责流量劫持的浏览器开发。该公司公示的招聘信息,如下图所示:


三、附录

样本SHA1:

注:本文为火绒安全实验室投稿,宅客频道授权发布。

蓝字查看更多精彩内容


探索篇

  暗网【上】|  暗网【下

草榴社区 女鉴黄师 | 以图搜图

心脏滴血 撞库攻击 | 潜行追踪

刷票 | 人肉 | 勒索 | 内鬼

超级欺骗系统


真相篇

战斗民族野生聊天 App

草榴社区这类色情网站为什么封不掉

什么样的漏洞买得起北京二环一套房?

上了个“假”黄网,误入了7亿黑产的大门

13岁小黑客自学一年挖到了微软、谷歌的漏洞

中学教材现黄色网站 人教社回应遭网友质疑

干货!top白帽子 Gr36_ 手把手教你挖漏洞

我们可以用“免疫系统”对抗黑客入侵吗?

这位叔叔要教勒索软件一些做人的道理

有个网站叫“我知道你下载了什么”

无线电攻击居然还能用来打飞机

“道哥”透露从业初心


人物篇


道哥:重回阿里的29个月

黑客老王:一个人的黑客史

吴石:站在0和1之间的男人

黑客衰大:45天攻入姑娘的心

黑客段子手“呆子不开口”

“特斯拉破解第一人”刘健皓

唐青昊:虚拟世界的越狱者

MOSEC:盘古团队的野心优雅

让周鸿祎“三顾茅庐” 的 黑客 MJ

美女黑客张婉桥的“爱丽丝奇遇记”

TK教主和玄武实验室的几个小故事

把老婆训练成女黑客的漏洞大神黄正

“真爱”黑客 Fooying 手把手教你追妹子


更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域,讲述黑客背后的故事。

长按下图二维码并识别关注


文章有问题?点此查看未经处理的缓存