番茄系統(tǒng)家園 - 免費(fèi)重裝系統(tǒng)!簡(jiǎn)單裝系統(tǒng),人人都是裝機(jī)大師!
當(dāng)前位置:首頁(yè)>電腦故障 > 國(guó)產(chǎn)病毒“火球”感染2.5億臺(tái)電腦,20%企業(yè)中招,背后竟是一家中國(guó)廣告公司?

國(guó)產(chǎn)病毒“火球”感染2.5億臺(tái)電腦,20%企業(yè)中招,背后竟是一家中國(guó)廣告公司?

來(lái)源:番茄系統(tǒng)家園瀏覽:時(shí)間:2022-03-29 17:11:27

按:6月1日,知名安全公司 CheckPoint 发布报告称,发现了由中国公司控制的流氓软件“火球(Fireball)”,因受害者众多,已经引起国外安全机构的重视。火绒安全实验室第一时间对该事件样本和所属主体进行了分析。本文为详细事件分析, 授权发布。

一、综述

6月1日,知名安全公司 CheckPoint发布报告称,发现了由中国公司控制的流氓软件“火球(Fireball)”,因受害者众多,已经引起国外安全机构的重视。

在“火球(Fireball)”事件中,火绒安全团队发现了野马浏览器、Deal Wifi 软件等8款流氓软件,这些流氓软件感染电脑后会将 Chrome浏览器的首页、TAB页改为随机生成的搜索页,而用户无法更改。虽然页面各不相同,但搜索页均抓取雅虎和谷歌数据,火绒安全团队推测,流氓软件制造者以控制用户点击雅虎和谷歌的广告牟利。

流氓软件在安装时会检测电脑是否有Chrome 浏览器,若没有则相安无事,若有则会提示用户安装一个 Chrome 插件,不安装插件就不能安装软件。

虽然这些软件来自国内卿烨科技、百盛达科技等多家公司,但是火绒安全团队通过追踪发现,其均由同一作者“baoyu430@gmail.com”制作。作者注册不同网站,制作了一批流氓软件。

这些软件只攻击 Chrome 浏览器,但考虑到Chrome浏览器在国外的市场占有率,“火球(Fireball)”事件可谓影响巨大,国内 Chrome用户也可能收到挟持。

用户可以通过卸载这些流氓软件恢复 Chrome 浏览器的设置。目前火绒安全软件也已全面支持查杀“火球(Fireball)”事件涉及的流氓软件。

这次“火球(Fireball)”事件虽然在外国爆发,但其“作案手法”在国内早已屡见不鲜,可以看出国内的网络犯罪手法正在向国际蔓延。

二、事件分析

近期火球(FireBall)事件中,涉事软件存在劫持 Chrome 浏览器首页及新标签页的恶意行为。经过火绒追查,发现更多软件涉及此次事件,如下图所示:

国产病毒“火球”感染2.5亿台电脑,20%企业中招,背后竟是一家中国广告公司?

▲ 恶意软件列表

以“Deal WiFi”软件为例,安装如下图所示,如果用户不勾选 "Set mystart.dealwifi.com as your chromehomepage and newtab",则无法继续安装。如下图所示:

国产病毒“火球”感染2.5亿台电脑,20%企业中招,背后竟是一家中国广告公司?

勾选后使用火绒剑监控“DealWiFi”安装过程,可以看到程序在后台安装了一个 Chrome 插件,如下图所示:

国产病毒“火球”感染2.5亿台电脑,20%企业中招,背后竟是一家中国广告公司?

该插件会“劫持”Chrome的设置界面,如下图所示:

国产病毒“火球”感染2.5亿台电脑,20%企业中招,背后竟是一家中国广告公司?

▲ 劫持 Chrome 首页及新标签创建页面

Chrome 浏览器的首页被修改为 hxxps://mystart.dealwifi.com/?type=apps,如下图所示:

国产病毒“火球”感染2.5亿台电脑,20%企业中招,背后竟是一家中国广告公司?

▲ 搜索劫持

这些流氓程序安装流程一样,都会强制安装一个名称和所装软件名称一样的 Chrome 插件。这些插件功能完全相同,都是锁定首页和新标签页的URL,其中名为"Soso Desktop"的流氓软件还强制修改默认搜索引擎。

与国内一般的添加带有首页推广号的锁首方式不同,病毒插件锁定的根据安装的流氓软件不同搜索页面也不相同如下表:

国产病毒“火球”感染2.5亿台电脑,20%企业中招,背后竟是一家中国广告公司?

我们通过对比搜索结果可以发现,除 Holainput 锁定的搜索页面最终结果会跳转 Google 外,其余搜索页面和hxxps://www.yahoo.com 的搜索结果一致,后台疑似使用 Yahoo 的搜索结果。但是无论使用的是 Google 还是Yahoo,病毒服务器都可以记录用户的搜索内容,对用户的搜索信息隐私安全造成威胁。

经过火绒追查,诸多上述恶意软件的注册信息中都出现了注册人鲍雨与其注册所使用电子邮箱“baoyu430@gmail.com”。

通过搜索卿烨科技有限公司的工商信息,我们发现名为卿烨科技的公司共有五家,其中与病毒存在直接关系的公司共有三家,分别为卿烨科技(北京)有限责任公司(下文称北京卿烨)、卿烨科技(上海)有限责任公司北京卿烨雨林分公司(下文称上海卿烨北京分公司)和卿烨科技(上海)有限责任公司(上海卿烨)。

经过我们对企业信息的梳理与筛查,我们初步理清了与病毒相关的公司运作关系,如下图所示:

国产病毒“火球”感染2.5亿台电脑,20%企业中招,背后竟是一家中国广告公司?

在整个公司运营中,最主要的涉事人为马琳和鲍雨,马琳为相关公司的最主要出资人,鲍雨为主要经理人。

北京朗基努斯投资中心股东信息中,只有马琳和鲍雨,该公司以相对控股方式控制卿烨科技(上海)有限责任公司。该公司的主要职能为进行资本,进行对外投资整合资源。

上海卿烨主要负责开发进行流量劫持的浏览器插件和国内外相关网站服务的开发,并且通过对外投资以绝对控股方式控制着北京卿烨,同时设有下属分支公司上海卿烨北京分公司。在该公司产权信息中,我们发现了传播恶意插件的软件,如下图所示:

国产病毒“火球”感染2.5亿台电脑,20%企业中招,背后竟是一家中国广告公司?

我们还在招聘网站找到了该公司的招聘信息,如下图所示:

国产病毒“火球”感染2.5亿台电脑,20%企业中招,背后竟是一家中国广告公司?

北京卿烨主要负责软件及游戏开发,其开发的软件为劫持流量的传播载体,软件诸如:Deal WiFi、Soso Desktop 和 FVP Imageviewer等。在该公司产权信息中,我们发现了更多携带流氓推广的软件,如下图所示:

国产病毒“火球”感染2.5亿台电脑,20%企业中招,背后竟是一家中国广告公司?

上海卿烨北京分公司主要负责流量劫持的浏览器开发。该公司公示的招聘信息,如下图所示:

国产病毒“火球”感染2.5亿台电脑,20%企业中招,背后竟是一家中国广告公司?

三、附录

样本SHA1:

国产病毒“火球”感染2.5亿台电脑,20%企业中招,背后竟是一家中国广告公司?

注:本文为火绒安全实验室投稿,授权发布。

推薦系統(tǒng)

  • 雨林木風(fēng) winxp下載 純凈版 永久激活 winxp ghost系統(tǒng) sp3 系統(tǒng)下載

    雨林木風(fēng) winxp下載 純凈版 永久激活 winxp ghost系統(tǒng) sp3 系統(tǒng)下載64位
    系統(tǒng)大?。?/em>0MB系統(tǒng)類型:WinXP

    雨林木風(fēng)在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國(guó)內(nèi)重裝系統(tǒng)行業(yè)知名品牌,雨林木風(fēng)WindowsXP其系統(tǒng)口碑得到許多人認(rèn)可,積累了廣大的用戶群體,是一款穩(wěn)定流暢的系統(tǒng),雨林木風(fēng) winxp下載 純凈版 永久激活 winxp ghost系統(tǒng) sp3 系統(tǒng)下載,有需要的朋友速度下載吧。

    系統(tǒng)等級(jí):
    進(jìn)入下載 >
  • 蘿卜家園win7純凈版 ghost系統(tǒng)下載 x64 聯(lián)想電腦專用

    蘿卜家園win7純凈版 ghost系統(tǒng)下載 x64 聯(lián)想電腦專用64位
    系統(tǒng)大?。?/em>0MB系統(tǒng)類型:Win7

    蘿卜家園win7純凈版是款非常純凈的win7系統(tǒng),此版本優(yōu)化更新了大量的驅(qū)動(dòng),幫助用戶們進(jìn)行舒適的使用,更加的適合家庭辦公的使用,方便用戶,有需要的用戶們快來(lái)下載安裝吧。

    系統(tǒng)等級(jí):
    進(jìn)入下載 >
  • 雨林木風(fēng)xp系統(tǒng) xp系統(tǒng)純凈版 winXP ghost xp sp3 純凈版系統(tǒng)下載

    雨林木風(fēng)xp系統(tǒng) xp系統(tǒng)純凈版 winXP ghost xp sp3 純凈版系統(tǒng)下載64位
    系統(tǒng)大?。?/em>1.01GB系統(tǒng)類型:WinXP

    雨林木風(fēng)xp系統(tǒng) xp系統(tǒng)純凈版 winXP ghost xp sp3 純凈版系統(tǒng)下載,雨林木風(fēng)WinXP系統(tǒng)技術(shù)積累雄厚深耕多年,采用了新的系統(tǒng)功能和硬件驅(qū)動(dòng),可以更好的發(fā)揮系統(tǒng)的性能,優(yōu)化了系統(tǒng)、驅(qū)動(dòng)對(duì)硬件的加速,加固了系統(tǒng)安全策略,運(yùn)行環(huán)境安全可靠穩(wěn)定。

    系統(tǒng)等級(jí):
    進(jìn)入下載 >
  • 蘿卜家園win10企業(yè)版 免激活密鑰 激活工具 V2023 X64位系統(tǒng)下載

    蘿卜家園win10企業(yè)版 免激活密鑰 激活工具 V2023 X64位系統(tǒng)下載64位
    系統(tǒng)大?。?/em>0MB系統(tǒng)類型:Win10

    蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國(guó)內(nèi)重裝系統(tǒng)行業(yè)的蘿卜家園品牌,(win10企業(yè)版,win10 ghost,win10鏡像),蘿卜家園win10企業(yè)版 免激活密鑰 激活工具 ghost鏡像 X64位系統(tǒng)下載,其系統(tǒng)口碑得到許多人認(rèn)可,積累了廣大的用戶群體,蘿卜家園win10純凈版是一款穩(wěn)定流暢的系統(tǒng),一直以來(lái)都以用戶為中心,是由蘿卜家園win10團(tuán)隊(duì)推出的蘿卜家園

    系統(tǒng)等級(jí):
    進(jìn)入下載 >
  • 蘿卜家園windows10游戲版 win10游戲?qū)I(yè)版 V2023 X64位系統(tǒng)下載

    蘿卜家園windows10游戲版 win10游戲?qū)I(yè)版 V2023 X64位系統(tǒng)下載64位
    系統(tǒng)大?。?/em>0MB系統(tǒng)類型:Win10

    蘿卜家園windows10游戲版 win10游戲?qū)I(yè)版 ghost X64位 系統(tǒng)下載,蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國(guó)內(nèi)重裝系統(tǒng)行業(yè)的蘿卜家園品牌,其系統(tǒng)口碑得到許多人認(rèn)可,積累了廣大的用戶群體,蘿卜家園win10純凈版是一款穩(wěn)定流暢的系統(tǒng),一直以來(lái)都以用戶為中心,是由蘿卜家園win10團(tuán)隊(duì)推出的蘿卜家園win10國(guó)內(nèi)鏡像版,基于國(guó)內(nèi)用戶的習(xí)慣,做

    系統(tǒng)等級(jí):
    進(jìn)入下載 >
  • windows11下載 蘿卜家園win11專業(yè)版 X64位 V2023官網(wǎng)下載

    windows11下載 蘿卜家園win11專業(yè)版 X64位 V2023官網(wǎng)下載64位
    系統(tǒng)大?。?/em>0MB系統(tǒng)類型:Win11

    蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,windows11下載 蘿卜家園win11專業(yè)版 X64位 官網(wǎng)正式版可以更好的發(fā)揮系統(tǒng)的性能,優(yōu)化了系統(tǒng)、驅(qū)動(dòng)對(duì)硬件的加速,使得軟件在WINDOWS11系統(tǒng)中運(yùn)行得更加流暢,加固了系統(tǒng)安全策略,WINDOWS11系統(tǒng)在家用辦公上跑分表現(xiàn)都是非常優(yōu)秀,完美的兼容各種硬件和軟件,運(yùn)行環(huán)境安全可靠穩(wěn)定。

    系統(tǒng)等級(jí):
    進(jìn)入下載 >

熱門(mén)系統(tǒng)