雷鋒網(wǎng)按：6月1日，知名安全公司 CheckPoint 發(fā)布報(bào)告稱，發(fā)現(xiàn)了由中國公司控制的流氓軟件“火球（Fireball）”，因受害者眾多，已經(jīng)引起國外安全機(jī)構(gòu)的重視?；鸾q安全實(shí)驗(yàn)室第一時(shí)間對(duì)該事件樣本和所屬主體進(jìn)行了分析。本文為詳細(xì)事件分析， 雷鋒網(wǎng)授權(quán)發(fā)布。

一、綜述

6月1日，知名安全公司 CheckPoint 發(fā)布報(bào)告稱，發(fā)現(xiàn)了由中國公司控制的流氓軟件“火球（Fireball）”，因受害者眾多，已經(jīng)引起國外安全機(jī)構(gòu)的重視。

在“火球（Fireball）”事件中，火絨安全團(tuán)隊(duì)發(fā)現(xiàn)了野馬瀏覽器、Deal Wifi 軟件等8款流氓軟件，這些流氓軟件感染電腦后會(huì)將 Chrome 瀏覽器的首頁、TAB 頁改為隨機(jī)生成的搜索頁，而用戶無法更改。雖然頁面各不相同，但搜索頁均抓取雅虎和谷歌數(shù)據(jù)，火絨安全團(tuán)隊(duì)推測，流氓軟件制造者以控制用戶點(diǎn)擊雅虎和谷歌的廣告牟利。

流氓軟件在安裝時(shí)會(huì)檢測電腦是否有 Chrome 瀏覽器，若沒有則相安無事，若有則會(huì)提示用戶安裝一個(gè) Chrome 插件，不安裝插件就不能安裝軟件。

雖然這些軟件來自國內(nèi)卿燁科技、百盛達(dá)科技等多家公司，但是火絨安全團(tuán)隊(duì)通過追蹤發(fā)現(xiàn)，其均由同一作者“baoyu430@gmail.com”制作。作者注冊不同網(wǎng)站，制作了一批流氓軟件。

這些軟件只攻擊 Chrome 瀏覽器，但考慮到Chrome瀏覽器在國外的市場占有率，“火球（Fireball）”事件可謂影響巨大，國內(nèi) Chrome 用戶也可能收到挾持。

用戶可以通過卸載這些流氓軟件恢復(fù) Chrome 瀏覽器的設(shè)置。目前火絨安全軟件也已全面支持查殺“火球（Fireball）”事件涉及的流氓軟件。

這次“火球（Fireball）”事件雖然在外國爆發(fā)，但其“作案手法”在國內(nèi)早已屢見不鮮，可以看出國內(nèi)的網(wǎng)絡(luò)犯罪手法正在向國際蔓延。

二、事件分析

近期火球（FireBall）事件中，涉事軟件存在劫持 Chrome 瀏覽器首頁及新標(biāo)簽頁的惡意行為。經(jīng)過火絨追查，發(fā)現(xiàn)更多軟件涉及此次事件，如下圖所示：

▲ 惡意軟件列表

以“Deal WiFi”軟件為例，安裝如下圖所示，如果用戶不勾選 "Set mystart.dealwifi.com as your chrome homepage and newtab"，則無法繼續(xù)安裝。如下圖所示：

勾選后使用火絨劍監(jiān)控“DealWiFi”安裝過程，可以看到程序在后臺(tái)安裝了一個(gè) Chrome 插件，如下圖所示：

該插件會(huì)“劫持”Chrome的設(shè)置界面，如下圖所示：

▲ 劫持 Chrome 首頁及新標(biāo)簽創(chuàng)建頁面

Chrome 瀏覽器的首頁被修改為 hxxps://mystart.dealwifi.com/?type=apps，如下圖所示：

▲ 搜索劫持

這些流氓程序安裝流程一樣，都會(huì)強(qiáng)制安裝一個(gè)名稱和所裝軟件名稱一樣的 Chrome 插件。這些插件功能完全相同，都是鎖定首頁和新標(biāo)簽頁的 URL，其中名為"Soso Desktop"的流氓軟件還強(qiáng)制修改默認(rèn)搜索引擎。

與國內(nèi)一般的添加帶有首頁推廣號(hào)的鎖首方式不同，病毒插件鎖定的根據(jù)安裝的流氓軟件不同搜索頁面也不相同如下表：

▲ 不同軟件劫持的網(wǎng)址

我們通過對(duì)比搜索結(jié)果可以發(fā)現(xiàn)，除 Holainput 鎖定的搜索頁面最終結(jié)果會(huì)跳轉(zhuǎn) Google 外，其余搜索頁面和 hxxps://www.yahoo.com  的搜索結(jié)果一致，后臺(tái)疑似使用 Yahoo 的搜索結(jié)果。但是無論使用的是 Google 還是 Yahoo，病毒服務(wù)器都可以記錄用戶的搜索內(nèi)容，對(duì)用戶的搜索信息隱私安全造成威脅。

經(jīng)過火絨追查，諸多上述惡意軟件的注冊信息中都出現(xiàn)了注冊人鮑雨與其注冊所使用電子郵箱“baoyu430@gmail.com”。

通過搜索卿燁科技有限公司的工商信息，我們發(fā)現(xiàn)名為卿燁科技的公司共有五家，其中與病毒存在直接關(guān)系的公司共有三家，分別為卿燁科技（北京）有限責(zé)任公司（下文稱北京卿燁）、卿燁科技（上海）有限責(zé)任公司北京卿燁雨林分公司（下文稱上海卿燁北京分公司）和卿燁科技（上海）有限責(zé)任公司（上海卿燁）。

經(jīng)過我們對(duì)企業(yè)信息的梳理與篩查，我們初步理清了與病毒相關(guān)的公司運(yùn)作關(guān)系，如下圖所示：

在整個(gè)公司運(yùn)營中，最主要的涉事人為馬琳和鮑雨，馬琳為相關(guān)公司的最主要出資人，鮑雨為主要經(jīng)理人。

北京朗基努斯投資中心股東信息中，只有馬琳和鮑雨，該公司以相對(duì)控股方式控制卿燁科技（上海）有限責(zé)任公司。該公司的主要職能為進(jìn)行資本，進(jìn)行對(duì)外投資整合資源。

上海卿燁主要負(fù)責(zé)開發(fā)進(jìn)行流量劫持的瀏覽器插件和國內(nèi)外相關(guān)網(wǎng)站服務(wù)的開發(fā)，并且通過對(duì)外投資以絕對(duì)控股方式控制著北京卿燁，同時(shí)設(shè)有下屬分支公司上海卿燁北京分公司。在該公司產(chǎn)權(quán)信息中，我們發(fā)現(xiàn)了傳播惡意插件的軟件，如下圖所示：

我們還在招聘網(wǎng)站找到了該公司的招聘信息，如下圖所示：

北京卿燁主要負(fù)責(zé)軟件及游戲開發(fā)，其開發(fā)的軟件為劫持流量的傳播載體，軟件諸如：Deal WiFi、Soso Desktop 和 FVP Imageviewer 等。在該公司產(chǎn)權(quán)信息中，我們發(fā)現(xiàn)了更多攜帶流氓推廣的軟件，如下圖所示：

上海卿燁北京分公司主要負(fù)責(zé)流量劫持的瀏覽器開發(fā)。該公司公示的招聘信息，如下圖所示：

三、附錄

樣本SHA1：

注：本文為火絨安全實(shí)驗(yàn)室投稿，雷鋒網(wǎng)授權(quán)發(fā)布。

雷峰網(wǎng)特約稿件，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。