惡意軟體 FireBall 是如何感染全球 2.5 億台計算機的?可能造成哪些危害?

史上最大的感染事件:國產 FireBall 感染 2.5 億台計算機能引發「全球災難」

知名安全公司CheckPoint發布報告稱,發現一個由中國商業公司控制的Fireball(火球)病毒,該病毒已感染全球約2.5億部計算機。火球病毒通過捆綁正常軟體傳播,火球病毒感染後會劫持用戶瀏覽器,中毒電腦成為殭屍網路的一部分。Fireball病毒也是一個功能完善的病毒下載器,可以在中毒電腦執行任何代碼。其核心功能是控制用戶瀏覽器點擊谷歌、雅虎網站的廣告牟利。

CheckPoint在分析中指出:「火球病毒是由中國數字營銷公司Rafotech 管理的。」全球有超過2.5億台電腦受到感染:印度2530萬(10.1%),巴西2410萬(9.6%),墨西哥1,610萬(6.4%),印度尼西亞1310萬(5.2%),美國有550萬感染(2.2%)。


一、 綜述

6月1日,知名安全公司CheckPoint發布報告稱,發現了由中國公司控制的流氓軟體「火球(Fireball)」,因受害者眾多,已經引起國外安全機構的重視。

在「火球(Fireball)」事件中,火絨安全團隊發現了野馬瀏覽器、Deal Wifi軟體等8款流氓軟體,這些流氓軟體感染電腦後會將Chrome瀏覽器的首頁、TAB頁改為隨機生成的搜索頁,而用戶無法更改。雖然頁面各不相同,但搜索頁均抓取雅虎和谷歌數據,火絨安全團隊推測,流氓軟體製造者以控制用戶點擊雅虎和谷歌的廣告牟利。

流氓軟體在安裝時會檢測電腦是否有Chrome瀏覽器,若沒有則相安無事,若有則會提示用戶安裝一個Chrome插件,不安裝插件就不能安裝軟體。

雖然這些軟體來自國內卿燁科技、百盛達科技等多家公司,但是火絨安全團隊通過追蹤發現,其均由同一作者「baoyu430@gmail.com」製作。作者註冊不同網站,製作了一批流氓軟體。

這些軟體只攻擊Chrome瀏覽器,但考慮到Chrome瀏覽器在國外的市場佔有率,「火球(Fireball)」事件可謂影響巨大,國內Chrome用戶也可能收到挾持。

用戶可以通過卸載這些流氓軟體恢復Chrome瀏覽器的設置。當然,另一種更省力的方法是開啟火絨安全軟體,火絨安全軟體已可全面查殺「火球(Fireball)」事件涉及的流氓軟體,建議用戶下載安裝最新版火絨安全軟體。

這次「火球(Fireball)」事件雖然在外國爆發,但其「作案手法」在國內早已屢見不鮮,可以看出國內的網路犯罪手法正在向國際蔓延。

二、 事件分析

近期火球(FireBall)事件中,涉事軟體存在劫持Chrome瀏覽器首頁及新標籤頁的惡意行為。經過火絨追查,發現更多軟體涉及此次事件,如下圖所示:

軟體列表

以「Deal WiFi」軟體為例,安裝如下圖所示,如果用戶不勾選 "Set http://mystart.dealwifi.com as your chrome homepage and new tab",則無法繼續安裝。如下圖所示:

安裝

勾選後使用火絨劍監控「Deal WiFi」安裝過程,可以看到程序在後台安裝了一個Chrome插件,如下圖所示:

安裝Chrome插件

該插件會「劫持」Chrome的設置界面,如下圖所示:

劫持Chrome首頁及新標籤創建頁面

Chrome瀏覽器的首頁被修改為hxxps://mystart.dealwifi.com/?type=apps,如下圖所示:

搜索劫持

這些流氓程序安裝流程一樣,都會強制安裝一個名稱和所裝軟體名稱一樣的Chrome插件。這些插件功能完全相同,都是鎖定首頁和新標籤頁的URL,其中名為"Soso Desktop"的流氓軟體還強制修改默認搜索引擎。

與國內一般的添加帶有首頁推廣號的鎖首方式不同,病毒插件鎖定的根據安裝的流氓軟體不同搜索頁面也不相同如下表:

不同軟體劫持的網址

我們通過對比搜索結果可以發現,除 Holainput鎖定的搜索頁面最終結果會跳轉Google外,其餘搜索頁面和hxxps://http://www.yahoo.com的搜索結果一致,後台疑似使用Yahoo的搜索結果。但是無論使用的是Google還是Yahoo,病毒伺服器都可以記錄用戶的搜索內容,對用戶的搜索信息隱私安全造成威脅。

經過火絨追查,諸多上述惡意軟體的註冊信息中都出現了註冊人鮑雨與其註冊所使用電子郵箱「baoyu430@gmail.com」。通過搜索卿燁科技有限公司的工商信息,我們發現名為卿燁科技的公司共有五家,其中與病毒存在直接關係的公司共有三家,分別為卿燁科技(北京)有限責任公司(下文稱北京卿燁)、卿燁科技(上海)有限責任公司北京卿燁雨林分公司(下文稱上海卿燁北京分公司)和卿燁科技(上海)有限責任公司(上海卿燁)。經過我們對企業信息的梳理與篩查,我們初步理清了與病毒相關的公司運作關係,如下圖所示:

涉事公司關係圖

在整個公司運營中,最主要的涉事人為馬琳和鮑雨,馬琳為相關公司的最主要出資人,鮑雨為主要經理人。

北京朗基努斯投資中心股東信息中,只有馬琳和鮑雨,該公司以相對控股方式控制卿燁科技(上海)有限責任公司。該公司的主要職能為進行資本,進行對外投資整合資源。

上海卿燁主要負責開發進行流量劫持的瀏覽器插件和國內外相關網站服務的開發,並且通過對外投資以絕對控股方式控制著北京卿燁,同時設有下屬分支公司上海卿燁北京分公司。在該公司產權信息中,我們發現了傳播惡意插件的軟體,如下圖所示:

上海卿燁產權信息

我們還在招聘網站找到了該公司的招聘信息,如下圖所示:

上海卿燁招聘信息

北京卿燁主要負責軟體及遊戲開發,其開發的軟體為劫持流量的傳播載體,軟體諸如:Deal WiFi、Soso Desktop和FVP Imageviewer等。在該公司產權信息中,我們發現了更多攜帶流氓推廣的軟體,如下圖所示:

北京卿燁產權信息

上海卿燁北京分公司主要負責流量劫持的瀏覽器開發。該公司公示的招聘信息,如下圖所示:

上海卿燁北京分公司招聘信息

三、 附錄

樣本SHA1:

0f6df3d425c0f2e60eca1cd8a20106c305296f23

08731ac376f3d6af690d45214d4644f3c42930a1

2a8d9d7210f216f00aa9c7d301d7ceb95aa37fad

64c92cc638e3be9377d03209eda8b785ceb5de4e

ff22a77a03c10e2ad244923f4e94d64e00551a94

b7f4442990811a1c456bce83f403febefdac6cc6

9b78982db7520f226169cd1bb6a704a7dfac951c

23e2b70c2070e15e993bd00f3be8afb89111b92b

117d558fca1c7dcfff59702cb9393486ec368e47

ae76db7f24a111ca022b00d29fb08cc76cbab41b


再更新一下微軟打臉CheckPoint的新報告。

Understanding the true size of 「Fireball」

作為全球市場佔有率最高的殺軟(沒有之一,),微軟的威脅情報水平可是比CheckPoint不知道高到哪裡去了。

從上圖可以看到,fireball的高峰期是在2016年10月,現在啊,已經過氣了。微軟嚴肅地批評了CheckPoint玩弄數字的把戲:訪問量不同於感染量。你們呀,不要總是想搞個大新聞!

Not every machine that visits one of these sites is infected with malware. The search pages earn revenue regardless of how a user arrives at the page. Some may be loaded by users who are not infected during normal web browsing, for example, via advertisements or domain parking.

The estimates were made from analyzing Alexa ranking data, which are estimates of visitor numbers based on a small percentage of Internet users. Alexa』s estimates are based on normal web browsing. They are not the kind of traffic produced by malware infections, like the Fireball threats, which only target Google Chrome and Mozilla Firefox. The Alexa traffic estimates for the Fireball domains, for example, differ from Alexa competitor SimilarWeb.

----------------------------------------

最新進展: 360發表文章:Fireball真相:一個菜鳥級流氓軟體竟讓老外如臨大敵 - FreeBuf.COM

----------------------------------------

雖然我對這個checkpoint的博客不以為然,但不代表我否定火絨的觀點,火絨的分析十分透徹,而且火絨劍真的挺好用啊,推薦IT管理人員和高級用戶使用!
----------------------------------------

看來checkpoint最近業務又下滑了?又想搞個大新聞轉移大家注意力?

原來還覺得checkpoint挺靠譜,最近越來越感覺checkpoint這博客整的跟八卦雜質一樣了。今天看到刷屏了,趕快在虛擬機是試裝了幾個樣本,這不就是一批流氓軟體嘛,而且這種現象很多,國內更常見了,這個還能很容易卸載,比前兩年中了某衛士,R星之類的好多了。不僅如此,還嚇唬用戶說,這是要把所有用戶組織成為一個殭屍網路,天啦嚕,一個規模2.5億的殭屍網路,這可是網路核武器啊,真是不知道checkpoint最近想像力變得這麼豐富了。不知道checkpoint的研究員用過 Tencent 企鵝 么,那可是號稱9億裝機量呢,手機端,pc端

最近checkpoint搞的大新聞如下:
Checkpoint再次曝光一批中國手機中預裝的惡意軟體 36款安卓手機檢出預裝病毒:老牌安全廠商
文中提到的被感染的設備包括下列手機,把我嚇尿了有木有,實際上呢,我們沒接到過什麼相關的用戶報告:
Galaxy Note 2、Galaxy Note 3、Galaxy Note 4、Galaxy Note 5、Galaxy Note Edge、Galaxy Note 8.0、Galaxy S7、Galaxy S4、Galaxy A5、Galaxy Tab S2、Galaxy Tab 2、LG G4、中興x500、vivo X6 plus、Asus Zenfone 2、Oppo N3、Oppo R7 plus、小米Mi 4i和紅米、聯想S90、聯想A850、Nexus 5和Nexus 5X

手游攜帶惡意軟體 攻陷3650萬部安卓手機 3650萬部安卓手機「感染帶病毒的手游」,嚇死寶寶了

中國一企業造出超強安卓病毒:感染手機數量最多_網易科技

去年爆料的安卓流氓軟體,即所謂的「悍馬病毒」,據說感染8500萬台安卓設備,而全球安卓手機當時也就15億,這個感染量已經逆天了(谷歌數據: 在 2016 年 3 月,安卓用戶一共有 15 億,其中有 13.5 億看起來是有效用戶 )

不好好研究malware,天天想搞大新聞,也是醉了


惡意軟體Fireball通過捆綁正常軟體傳播,中毒電腦的瀏覽器主頁、默認搜索頁會被鎖定且難以更改。以下為相關程序樣本名稱及官網列表:

金山毒霸安全研究員對相關程序樣本做出了詳細的分析,發現它們具有以下特點:

1、核心攻擊目標均為主流瀏覽器;

2、攻擊人群均面向國外用戶;

3、其攻擊程序均採用「軟體加簽名方式」試圖逃避殺軟查殺,其中DealWifi就是利用了自己的數字簽名。而另一類攻擊方式更為簡單粗暴,直接使用某知名瀏覽器的白簽名程序進行「白加黑」。

樣本分析與溯源

首先,在DealWifi官網直接下載軟體進行安裝,可以發現在其安裝時會強制用戶勾選同意修改Chrome瀏覽器主頁和新標籤頁的選項(不勾選則無法繼續安裝)。

其次,軟體會向Chrome瀏覽器中添加相關的擴展程序。擴展程序會通過Manifest.json配置文件,修改Chrome瀏覽器的主頁、起始頁和新標籤頁。

manifest.json內容如下:

startup_pages為主頁設置欄位:

實際瀏覽器啟動時打開如下網址:

金山毒霸安全實驗室根據Check Point披露的數據反查追蹤發現,Fireball家族背後還有另外的小插件,疑似國內名為北京行雲網科技合肥有限公司所開發,而最早活躍跡象可以追溯到2015年。

該插件利用了某知名瀏覽器進行「白+黑」的手法躲避殺軟查殺。

文件和模塊功能說明如下:

運行後釋放文件如下:

整體執行流程如下:

1、寫Windows Defender的註冊表添加信任目錄和文件

樣本運行之後,ImSystem隨之啟動,首先會載入USE.dll模塊,該模塊主要負責向註冊表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExclusionsPaths寫入工作路徑,添加信任目錄和文件。

2、寫計劃任務從而維持許可權

執行完第一步,隨後調起QQBrowser.exe,在其啟動時載入QQBrowserFrame.dll以及Chrome_elf.dll。此時QQBrowser.exe的使命完成,剩下的工作在這兩個模塊中繼續進行。

Chrome_elf.dll的主要功能是調用schtasks 命令創建計劃任務,通過計劃任務每日定時檢測更新。

添加的計劃任務如下:

3、解密DataBase

QQBrowserFrame.dll 將DataBase文件進行解密解壓縮操作,通過自行解析、重定位方式載入為DLL模塊,之後動態解析導出表,得到DoWork函數地址,轉入執行。

4、攻擊瀏覽器

DoWork的核心功能為篡改瀏覽器相關設置。攻擊目標包含IE 、firefox 、chrome、opera 等主流瀏覽器。

方式1:直接攻擊瀏覽器圖標(快捷方式)

枚舉*.lnk文件,在枚舉文件的回調函數EnumCallBack_XX中進行快捷方式修改操作,判斷條件為:

快捷方式指向中是否包含列表中的瀏覽器主程序字元串

其啟動參數是否符合要求(判斷是否已經修改)

若指向為列表中的字元串,病毒會判斷當前瀏覽器的指向的主頁是否是自己的,如果不是,則修改。

列表如下:

方式2:攻擊瀏覽器主頁、搜索頁、tab頁

IE瀏覽器:通過註冊表進行修改主頁、搜索頁、tab頁操作。

同時,對於其他瀏覽器,例如:Chrome瀏覽器,通過修改Secure Preferences文件,Firefox瀏覽器,通過修改prefs.js文件達到篡改瀏覽器主頁、搜索頁、新建tab頁的目的。

以chrome瀏覽器為例,修改Preferences中startup_urls欄位從而修改主頁。

同簽名文件列表:

(來源:https://www.herdprotect.com/signer-hefei-infinity-technology-co-ltd-490724fb4f978e2d51d3d4da84a86d0e.aspx

我們持續關注和發布各類安全熱點事件報告

歡迎大家關注我們的知乎號

&>&>點擊這裡關注我們&<&<


這很普通,如果系統管理員不檢查可執行文件就運行,出現這種問題很常見。不進行特殊配置就執行可執行文件,這文件幹啥東西就完全看開發者的良心了。2.5億應該是誇大了危害,真有這麼多設備惡意點擊廣告,Google不應該注意不到,不去封殺。

危害的話,這玩意我估計在用戶協議里都寫明白了,只是安裝的人沒看。就看弄不弄集體訴訟,要求賠償了。


寫了一篇專欄 也許對你有幫助

我知道你們沒在聽,但全球數億主機已被FireBall攻陷了 - 知乎專欄


UDS雲拉黑


詳細看圖

人家可是找了老前輩的,豈是爾等蝦兵蟹將能阻擋的了的?


有什麼大驚小怪的,這不就是國內喜聞樂見的,xxx助手,xxxx下載器,3x0嗎之類的嗎。


這根本就不是 流氓軟體

安裝前有提示 安裝後可卸載

比 各種全家桶 好多了


2345.360.king。

果然國內真的很多這種毒瘤。


謝邀。 @程毅南

確切來說是一個Chrome插件然後劫持本地的進程捆綁一些軟體方式。FireBall只是這個方式的其中一款軟體還有類似fvp dealwifi等。

呃。看了下播報發現一個叫做卿燁的公司。

但是病毒主要是上海卿燁北京分公司負責招聘程序猿。大搖大擺開發流量劫持開發瀏覽器。

與白帽一百某人聊過。那個公司月薪不錯。適合幹活。

但是如何感染的呢?

Chrome瀏覽器在國內外的市場佔有率特別大。

流氓軟體在安裝時會檢測電腦是否有 Chrome 瀏覽器,若有則會提示用戶安裝一個 Chrome 插件,不安裝插件就不能安裝軟體。(是不是很狗血)

但是一般主控本來是chrome主體 結果事先就給瀏覽器一個判斷

不清楚有無類似蠕蟲的攻擊方式 但是一般軟體都有很誘惑人的名字類似「免費」「福利」等噱頭。所以安裝之後就開始流氓推廣。鎖定主頁強制打開某頁罷了。

反正錢是萬能的。推廣後一般有高收入。然後公司再僱傭程序猿升級程序想到更為主動的方法。

循環。

危害呢。

瀏覽器被劫持主頁及互聯網搜索頁變為不知名的網站、經常莫名彈出廣告網頁輸入正常網站地址卻連接到其他網站。收藏夾內被自動添加陌生網站地址等等(來自百度)

獲取個人cookies或者搜索記錄。連帶的帶走你所有的網盤種子哈哈。


首先是謝謝邀請,本身我的能力也有限,我也只能說上面幾位大佬說得對!!


老外大驚小怪,我不知道中了多少次了


推薦閱讀:

零基礎怎麼做黑客?
故意讓別人蹭我網,我能做什麼?
如何在不確定安全性的 Wi-Fi 熱點下安全上網?
WPA2 被黑客破解,可以通過 Wi-Fi 竊聽任何聯網設備,這會帶來什麼影響?

TAG:網路安全 | 惡意軟體 |