欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Fireball真相:一个菜鸟级流氓软件竟让老外如临大敌

来源:本站整理 作者:佚名 时间:2017-06-04 TAG: 我要投稿

近日,知名安全公司CheckPoint发布的一篇报告在业内引发了不小的震动。报告中称,一个来自中国的名为Fireball(火球)的恶意软件(原文给出的定性:malware)传播量达到2.5亿,恐会“引发全球灾难”。
360第一时间找到了相关程序样本,并进行了分析。现在,我们不妨换个视角来谈谈这个Fireball到底是怎么回事儿。
“复杂的”恶意软件
“复杂的”恶意软件这个评价并不是我们给出的,而是Check Point给出的。(原文:’sophisticated’ malware)
那么,究竟这款恶意软件有多么的“复杂”呢?
首先,Fireball相关的恶意软件,会在安装时强制用户勾选同意修改Chrome浏览器主页和新标签页的选项。然后,恶意软件会向Chrome浏览器中添加相关的扩展程序(也就是很多人俗称的Chrome浏览器插件——虽然这个叫法并不准确)。经分析,扩展程序会通过Manifest.json配置文件,修改Chrome浏览器的主页、起始页和新标签页(截图以DealWifi为例):
manifest.json内容(重点是两个“overrides”)

newtab.html内容

最后——就没有了!是的,就这么“复杂”。
当然,强制勾选+修改浏览器配置,这已经足够定性为“恶意”了。但说到实质性的“威胁”,Check Point基于全球2.5亿的传播量来说,认为可能“引发全球灾难”,但同时也提到了——只是“有这个能力”而已。(原文:has the power to “initiate a global catastrophe”
恶意?流氓!
恶意软件(malware)的说法其实是非常宽泛的,基本可以认为:凡是被安全软件以正当理由拦截的软件(上到蠕虫、木马,下到广告程序)都是恶意软件。但具体到这次的Fireball家族,其实在国内有一个更为大家所熟知的名字——流氓软件。
说到流氓软件,相信国内广大群众都是非常熟悉的。如果把我们对流氓软件的一贯认知套用在这次Fireball事件上,Fireball的行为在“流氓软件”的这个分类中,已经算是很厚道的了。 
其一,有安装界面,并且提供明显的勾选项让用户去勾选:

试问,国内有几个流氓软件能有安装界面?有安装界面的有几个能让你勾选的?有勾选项的真能让你看到么?
其二,有卸载项:

“并没有隐藏卸载项”光凭这一点就比国内某些“正常软件”厚道到不知哪里去了。
其三,卸载项真的管用。换句话说,就是真的能够通过正常的软件卸载方法成功移除该软件。
说实话,真正的核心“流氓”行为其实就在于第一步勾选设置Chrome主页和新标签的选项是强制的,不选不让装。

  “墙内开花”缘何“墙外香”?
根据Check Point披露的数据,这款来自中国的恶意程序感染重灾区,前五名分别是印度、巴西、墨西哥、印度尼西亚和美国,在中国的传播量却并不多。这枝“墙内花”为何会“墙外香”呢?(当然,准确地说应该是墙外“臭”)
其实原因很简单——这类软件在中国生存,太艰难了。
早在2014年,360就发布了分析报告《流氓推广那些事》,当时一款伪装成色情播放器的软件,通过云控列表,在完全没有任何勾选和提示的情况下,一次性地向用户电脑推广了24款软件,其流氓行为至今仍令人咋舌。

         推广程序之多,当时甚至把测试用的虚拟机给卡死了:

流氓软件的出现早在2014年以前,在发布这篇报告的时候,流氓软件在国内已经成气候甚至是成产业地在运作了。
2015年,360又发布了博文《一不留神就被别人当枪使的年代》,流氓软件不仅自身行为流氓,还通过伪装杀毒软件弹窗来误导用户主动去下载和安装流氓软件:

当然,流氓软件推广的程序的场景依然丧心病狂:

同年,我们还发现了利用更为成熟的木马手段进行传播的流氓软件——《云控攻击之“人生在世”木马分析》

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载