360 旗下論壇麥芽地是 WireLurker 發源地嗎？

01-14

說明：
在卡飯上看到的，眾說紛紜不知是真是假。360旗下論壇為WireLurker發源地_IT資訊

我來重新整理一下事件的時間線：

WireLurker——其實個人更願稱之為 Machook，目前能查到的最早的記載來自於quchao.com 的頁面這篇 Blog，經 @陳少菊等影響較大的帳號 RT 後，曾在 Twitter 中文圈中引發了小範圍的關注。

之後沉寂了很久，幾天前，@littledew 在 V2EX 發帖並社工出了疑似病毒作者的域名等作案信息，以及其私人照片、常用的各個網路帳號和密碼。

由於原帖已被刪除，部分信息可通過 Google 快照查看：googleusercontent.com 的頁面

一天後，北京市盛峰律師事務所向 V2EX 發送了律師函，以「披露了委託人大量隱私」的名義要求刪貼：那個關於 Machook 木馬社工的帖子刪除了

PS：「披露了委託人大量隱私」…這不是反襯出原帖的QQ聊天記錄等都是真實的么……

還 Cc 給麥芽地，要知道此律師函公開之前大家都以為是 http://macx.cn 乾的呢，這律師真是中國好隊友……

當天下午，Palo Alto Networks公司發布了有關此木馬的報告（https://www.paloaltonetworks.com/content/dam/paloaltonetworks-com/en_US/assets/pdf/reports/Unit_42/unit42-wirelurker.pdf），國內媒體紛紛轉載，此木馬及其危害才開始廣為人知。

————————

那麼結合一下上述事實，我們來做一個簡單分析：

據那篇律師函所述，涉嫌因疑似製作病毒而被網友社工侵犯隱私的人名叫段治，而該封律師函在發往 V2EX 的同時 Cc 了一個域名為麥芽地的郵箱帳號。由此可知，此人就是麥芽地公司的員工，而貼中所涉及的木馬，也有可能是公司行為而非個人行為。

而從IT桔子官方網站我們又能得知，麥芽地為360所投資。可為佐證的是，「北京市盛峰律師事務所」正是為 360 代理過「3Q大戰」等關鍵戰役的事務所。

由此我們可以得出，只要最早的那篇社工貼的內容沒有全錯，WireLurker 病毒就和奇虎 360 脫不了干係。

可以確定是來自麥芽地，並且顯而易見。

證據很簡單：

1. 麥芽地沒有任何破解軟體的能力，像所有的國內盜版軟體論壇一樣都是下載國外盜版資源後上傳發布（麥芽地上傳空間為華為網盤）。

2. machook沒有感染其它app的能力，生成兩個進程：machook和globalupdate，位於/Library/LaunchDaemons文件夾。

3. 為什麼說麥芽地是這個破病毒的發源地呢？因為麥芽地軟體論壇的資源絕大部分是麥芽地自己員工在論壇中發布，版友分享的情況很少，且版友分享在百度雲等空間的軟體無病毒。(就是這麼肯定，因為我是一個軟體收集癖晚期的狂熱份子)

更要命的證據是———— 他們下載好盜版資源後進行了重！新！打！包！

(此Essential Anatomy 3.0就是在我機器上查到的含毒app)

麥芽地在重新打包後即上傳至其的華為網盤帳號，並將鏈接在論壇內發布。

——注意，dmg封包、上傳、發布的過程可以認為是封閉過程。

————也就是說只可能是麥芽地自己人在打包時將病毒注入app。

如果麥芽地當初不這麼手欠重新封包dmg，現在就可以悲憤的說：「難道發布的內容都屬於麥芽地負責嗎？！！」

麥芽地的部分含毒軟體的「元身」我通過P2P找到過(因為麥芽地在發布前很多軟體都沒有測試，閃退、破解失敗、無法運行時有發生)，但經過麥芽地重新封包後就有了病毒。

包子餡買來時正常，但消費者紛紛毒發去了醫院，而包子的製作、運輸、售賣全部由同一家公司封閉運營，怎麼可能問題不是出在這家公司呢？？？

樓主，你怎麼能這樣直接了當不講證據就說人家數字公司的呢！真是不夠厚道~

現在是法制社會！要拿出證據來好嗎！

（最近看多了離婚律師，律師自動上身 ←_←）

來來來，反正也是閑著，我給大家講一個關於神機妙算才是王道的故事！

（神機妙算哪家強？天橋底下黃大仙！）

Steps 1

2014年11月7日，美國一家網路安全公司說發現了一種新型惡意軟體，而且在中國的蘋果論壇「麥芽地」傳播，還推測開發者是中國人，因為病毒感染者也都為中國用戶，此惡意軟體叫"WireLurker"

Steps 2

2014年11月7日晚間，360安全衛士官方微博稱360安全衛士已經能查殺"WireLurker",且其手機安全衛士還有差殺該惡意軟體的。PC端移動端都能殺喲~是不是覺得棒棒噠 ←_←

Steps 3

2014年11月8日下午，360安全衛士官方微博再次發聲，360 在2014年9月推出一個安全硬體

能防範"WireLurke「的通過USB連接進行感染的惡意軟體。（唉我說數字公司也是夠膩害，有掐指一算的技能，人家就知道神機妙算，知道IOS系統11月要出事9月就發布了量身打造了一款安全硬體等著蘋果系統出事，你們其他安全廠商能好好學學人家嗎！！！）

故事的經過大概是這樣的：（圖就是我偷的 ←_←）

數字公司真是棒棒噠！那些年天橋下面的神機妙算的「黃大仙」原來都找到了好去處！

好了，不扯犢子，

下面是讀圖思考問題環節！（這也是我偷的！ ←_←）

在著名IT互聯網行業的結構化的公司資料庫和商業信息服務提供商——IT桔子網上，能夠查到蘋果論壇「麥芽地」為國內安全廠商360公司旗下的網站，奇虎360作為種子天使在2012年7月為其投資數百萬人民幣。

一條龍服務

當初machooker被發現時候，就是因為被靜默安裝了pp助手。

pp助手的投資人是誰呢？PP助手起家的天使投資方是360

http://www.quchao.com/entry/machook-killer/

看了看大家的貼……

麥芽地下的重新分包軟體帶毒

大部分中毒的都是為了推廣PP助手

360還在老外報道後第一時間跑出來查殺……

然後前倆還是360投的……

喲有意思呢

先陳述事實：

Wirelurker病毒是矽谷的帕拉奧圖公司( Palo Alto Networks )發現的，報告如下( https://www.paloaltonetworks.com/content/dam/paloaltonetworks-com/en_US/assets/pdf/reports/Unit_42/unit42-wirelurker.pdf ) ，該病毒的主要傳播地是麥芽地，中國的一家蘋果應用論壇，截止到發現之日，已經感染了467個應用，共有超過三十五萬次下載。

Wirelurker病毒感染Mac OS X，並能在iOS設備連接到Mac的時候感染iOS設備，被感染的設備並不需要越獄，因為病毒可以繞過蘋果的軟體驗證機制。

美國矽谷另外一家專門做APT防禦的公司火眼（FireEye）有一篇文章，分析了病毒是怎麼繞過蘋果的驗證機制的( https://www.virusbtn.com/blog/2014/09_12a.xml )

麥芽地是一家第三方蘋果應用商店，於2007年得到奇虎360的投資。

奇虎360確實在今年早些時候（大概九月）推出了可以防範USB傳播病毒的硬體產品。

…………………………………………………

事實說完了，說說我的判斷：

1.麥芽地是病毒傳播地，不是發源地，記者/小編的英文不好或者是故意的；（大家應該已經習慣了，語不驚人死不休）

2.奇虎360不會這麼蠢拿自己投資的公司來策劃病毒傳播、營銷防病毒硬體，道理很簡單，真要是他們策劃的，放到別的論壇上去不是更安全？此外，火眼關於繞過蘋果驗證傳播病毒的文章應該是今年九月份在西雅圖的防病毒大會上發布的，不知道為什麼我錯過了那個Session，但是奇虎360作為最高等級的贊助商一定不會錯過的；

3.但是作為一家第三方應用商店，麥芽地有不作為的責任，而且傳播病毒也是可以被追責的，奇虎360作為投資商，不說要負責吧，至少很丟臉，你九月份之前就發現的安全漏洞（產品都出來了），自家的論壇是主要傳播者，還被美國的同行發現了，現在到處在說中國傳播蘋果病毒，還有人猜測這個技術被中國軍方或國家部門拿來滲透美國，把中國信息安全界的臉都丟光了；

4.奇虎360最遲九月知道了漏洞，理論上他們的爬蟲就應該開始工作了，不知道為什麼直到11月他們也沒能發現麥芽地上的病毒，是不是內部機制出了問題我就不知道了；

老周很生氣，一定的，估計在罵人。

沒錯，發源地就是麥芽地，『警方』都這麼說了

近期網上出現一款針對蘋果系統名為「wirelurker」的惡意程序,北京市公安局根據奇虎360公司舉報,於11月13日將涉嫌製作、傳播該惡意程序的陳某、李某和王某抓獲。經查,三人為非法獲利合謀編寫該款程序,並通過「麥芽地」論壇傳播。

Sina Visitor System

啊，你問我跟360有沒有關係，我是小白我電腦還要用，我還不想被黑啊，我真的什麼都不知道

還是別用國內的這些東西，沒有一個讓人放心的，因為他們的目的都是錢，不要忘了這一點。

====針對@1ittlecup的回答====

感覺劇情要反轉，我是不是要賣隊友了啊……反正是妥妥的被打臉的節奏。

原來的內容只是講怎麼響應的，能夠有力反駁掉@釋心裡的絕對錯誤的時間線。

對於@1ittlecup提到的內容中，我之前忽略掉了文《那個關於 Machook 木馬社工的帖子刪除了》，其中提供了麥芽地和北京市盛峰律師事務所的刪貼要求，也坐實了此次事件和麥芽地的關係，具體的人肉過程參考http://ww2.sinaimg.cn/large/6a84be4bgw1elysm38xznj20c8ayae81.jpg。

我個人覺得這兩篇文章有理有據基本可信。然後剩下的就是數字和麥芽地的問題了，投資關係是肯定的，此外在沒有進一步證據之前反正我是沒法進一步指責。我個人是很看重證據的，別人愛怎麼想就只能隨他們去了。

最後我已經在秘密上問了這事，坐等爆料。

====更新一下====

沒想到這麼快就引來了點贊能手，這也算公司的福利吧。在互聯網下，水軍能夠完全淹沒個人意志。

雖然在知乎黑數字是政治上正確的，這次也只不過是實在看不過去別人無根據的亂說而發的，何況我已經盡量多的給出了引用出處了，希望大家覺得這個回答是公正的。

匿名的原因很簡單，不想被查水表。

====以下為原文====

全程圍觀了此次病毒響應。

Wirelurker病毒老早就被發現，例如隔壁問答中提到的http://www.quchao.com/entry/machook-killer/ ，而且這個病毒作者也被人肉過。如果不是國外公司出的報告，相信不會有這麼誇張的影響。

在此篇報告出來之後，各家都開始響應，數字發表了通報數十萬蘋果設備遭惡意軟體攻擊　360全面查殺，此文中那張國內首家查毒，把病毒名稱標記為Trojan.Generic，可以直接忽略，VT都已經被這樣玩壞了。實際上騰訊的專殺出的比數字早，參考 http://weibo.com/1773148625/BvbOycjYn，此時數字還沒出專殺呢。要說能先查殺，其實是騰訊最早能夠查殺。

關於SecUSB硬體防護：相關的概念攻擊方法老早就出現了，參考解密BadUSB：世界上最邪惡的USB外設，SecUSB是為了防護這種攻擊類型而設計出現的，並非沒有什麼用途。

這個純粹是一個被他們用來玩玩的東西，在2014互聯網安全大會上有過展覽。準備稿件的人員都不知道存在這個東西，後來在某個大佬提醒下才加上，加上的時候還發現壓根搜不到任何內容，再提示他人修改產品網頁以便搜索引擎收錄，但到目前為止仍然搜索不到，產品網頁在這360UnicornTeam，你們可以圍觀下。所以SecUSB的出現純屬意外。

@shotgun說的很對，這次數字響應的很慢，如果老周了解到具體情況，絕對會罵人。

因為這次是Mac上第一次發生如此嚴重的事件，因此各家廠商都想依此來切入Mac市場。而且此次事件也意味著Mac將面臨更大範圍攻擊一個徵兆，大家都摩拳擦掌，所以出現大量的公關稿都很正常。

@釋心的回答引自文章《Wirelurker惡意軟體爆發路線圖步步都有360》鏈接為Wirelurker惡意軟體爆發路線圖步步都有360 （不知道會不會失效，大家都在公關呢）。所謂的殺毒軟體公司自己造毒傳毒然後殺毒，便是著名的東方微點故意傳播網路病毒案件，此案件後來被證實是冤案，但是有此先例，大家自然誰也不敢幹這樣的事，只不過這種說法卻一直流傳下來了，並且時不時的被提出來翻舊賬而已。

個人覺得，即使存在這種情況，憑藉這幾年嚴峻的安全形勢和各大公司對安全的注重，已經沒有必要依靠這種高風險手段去獲取關注了，收益與風險不成正比。

最後引用一句趙武的話「公關層面尚且控制不了，老闆層面我就更干涉不了」（引自Sina Visitor System，與此次事件無關），國內的幾家公司，玩起來都得心應手，作為技術人員只能隨他們公關去，安心搞好技術。

利益相關：數字新入職員工

是不是發源地一點都不重要，

只要用戶相信就行，

所謂三人成虎，

360的競爭對手也明白這點，

肯定不會放過這個機會。

麥芽地不是一個第三方的iOS軟體下載社區嗎？怎麼發布的內容都屬於麥芽地負責了？

那麼。在百度貼吧上發的暴力言論，在微博上發的淫穢信息是不是分別就是李彥宏和曹國偉的問題？

不明白啊，不明白。