國產病毒「火球」感染2.5億台電腦，20%企業中招，背後竟是一家中國廣告公司？

雷鋒網按：6月1日，知名安全公司 CheckPoint 發布報告稱，發現了由中國公司控制的流氓軟體「火球（Fireball）」，因受害者眾多，已經引起國外安全機構的重視。火絨安全實驗室第一時間對該事件樣本和所屬主體進行了分析。本文為詳細事件分析， 雷鋒網授權發布。

在「火球（Fireball）」事件中，火絨安全團隊發現了野馬瀏覽器、Deal Wifi 軟體等8款流氓軟體，這些流氓軟體感染電腦後會將 Chrome 瀏覽器的首頁、TAB 頁改為隨機生成的搜索頁，而用戶無法更改。雖然頁面各不相同，但搜索頁均抓取雅虎和谷歌數據，火絨安全團隊推測，流氓軟體製造者以控制用戶點擊雅虎和谷歌的廣告牟利。

流氓軟體在安裝時會檢測電腦是否有 Chrome 瀏覽器，若沒有則相安無事，若有則會提示用戶安裝一個 Chrome 插件，不安裝插件就不能安裝軟體。

雖然這些軟體來自國內卿燁科技、百盛達科技等多家公司，但是火絨安全團隊通過追蹤發現，其均由同一作者「baoyu430@gmail.com」製作。作者註冊不同網站，製作了一批流氓軟體。

這些軟體只攻擊 Chrome 瀏覽器，但考慮到Chrome瀏覽器在國外的市場佔有率，「火球（Fireball）」事件可謂影響巨大，國內 Chrome 用戶也可能收到挾持。

用戶可以通過卸載這些流氓軟體恢復 Chrome 瀏覽器的設置。目前火絨安全軟體也已全面支持查殺「火球（Fireball）」事件涉及的流氓軟體。

這次「火球（Fireball）」事件雖然在外國爆發，但其「作案手法」在國內早已屢見不鮮，可以看出國內的網路犯罪手法正在向國際蔓延。

近期火球（FireBall）事件中，涉事軟體存在劫持 Chrome 瀏覽器首頁及新標籤頁的惡意行為。經過火絨追查，發現更多軟體涉及此次事件，如下圖所示：

惡意軟體列表

以「Deal WiFi」軟體為例，安裝如下圖所示，如果用戶不勾選 "Set mystart.dealwifi.com as your chrome homepage and newtab"，則無法繼續安裝。如下圖所示：

勾選後使用火絨劍監控「DealWiFi」安裝過程，可以看到程序在後台安裝了一個 Chrome 插件，如下圖所示：

該插件會「劫持」Chrome的設置界面，如下圖所示：

劫持 Chrome 首頁及新標籤創建頁面

Chrome 瀏覽器的首頁被修改為 hxxps://mystart.dealwifi.com/?type=apps，如下圖所示：

搜索劫持

這些流氓程序安裝流程一樣，都會強制安裝一個名稱和所裝軟體名稱一樣的 Chrome 插件。這些插件功能完全相同，都是鎖定首頁和新標籤頁的 URL，其中名為"Soso Desktop"的流氓軟體還強制修改默認搜索引擎。

與國內一般的添加帶有首頁推廣號的鎖首方式不同，病毒插件鎖定的根據安裝的流氓軟體不同搜索頁面也不相同如下表：

不同軟體劫持的網址

我們通過對比搜索結果可以發現，除 Holainput 鎖定的搜索頁面最終結果會跳轉 Google 外，其餘搜索頁面和 hxxps://www.yahoo.com 的搜索結果一致，後台疑似使用 Yahoo 的搜索結果。但是無論使用的是 Google 還是 Yahoo，病毒伺服器都可以記錄用戶的搜索內容，對用戶的搜索信息隱私安全造成威脅。

經過火絨追查，諸多上述惡意軟體的註冊信息中都出現了註冊人鮑雨與其註冊所使用電子郵箱「baoyu430@gmail.com」。

通過搜索卿燁科技有限公司的工商信息，我們發現名為卿燁科技的公司共有五家，其中與病毒存在直接關係的公司共有三家，分別為卿燁科技（北京）有限責任公司（下文稱北京卿燁）、卿燁科技（上海）有限責任公司北京卿燁雨林分公司（下文稱上海卿燁北京分公司）和卿燁科技（上海）有限責任公司（上海卿燁）。

經過我們對企業信息的梳理與篩查，我們初步理清了與病毒相關的公司運作關係，如下圖所示：

在整個公司運營中，最主要的涉事人為馬琳和鮑雨，馬琳為相關公司的最主要出資人，鮑雨為主要經理人。

北京朗基努斯投資中心股東信息中，只有馬琳和鮑雨，該公司以相對控股方式控制卿燁科技（上海）有限責任公司。該公司的主要職能為進行資本，進行對外投資整合資源。

上海卿燁主要負責開發進行流量劫持的瀏覽器插件和國內外相關網站服務的開發，並且通過對外投資以絕對控股方式控制著北京卿燁，同時設有下屬分支公司上海卿燁北京分公司。在該公司產權信息中，我們發現了傳播惡意插件的軟體，如下圖所示：

我們還在招聘網站找到了該公司的招聘信息，如下圖所示：

北京卿燁主要負責軟體及遊戲開發，其開發的軟體為劫持流量的傳播載體，軟體諸如：Deal WiFi、Soso Desktop 和 FVP Imageviewer 等。在該公司產權信息中，我們發現了更多攜帶流氓推廣的軟體，如下圖所示：

上海卿燁北京分公司主要負責流量劫持的瀏覽器開發。該公司公示的招聘信息，如下圖所示：

樣本SHA1：

註：本文為火絨安全實驗室投稿，雷鋒網授權發布。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！