縱觀剛剛過去的2018,依舊是病毒、流氓軟件狂歡的一年:有商業公司公然製作的流量劫持病毒,有知名軟件家族傳播的木馬病毒,有通過微信支付的勒索病毒,還有利用激活工具、下載站等大量傳播的流氓軟件……這些病毒、流氓軟件用自己的性命和名譽考驗著國內安全廠商的實力,可謂"兢兢業業"。為此,火絨特別挑出2018年"辛勤耕耘"的十大病毒(流氓軟件),看看它們的"非凡成就",給它們頒個獎。
勤奮獎:某商業公司製作的流量劫持病毒"FakeExtent"
時間:12月19日
某商業公司旗下產品"天馨氣象"表面為天氣類插件,實則是流量劫持病毒"FakeExtent",通過"WIN7之家"等下載站中的多款激活工具大範圍傳播。病毒會篡改系統配置、劫持流量,並與上游公司分成。更令人擔憂的是,當時該病毒釋放的一個插件帶有該公司的簽名,除火絨外,沒有安全廠商對該病毒插件報毒。
點評:以極端的撈錢手法,展示了資本寒冬下企業錯誤的自我救贖方式。
創新獎:利用"驅動人生"傳播的病毒"DTStealer"
時間:12月14日
"驅動人生"旗下多款軟件("驅動人生"、"人生日曆"、"USB寶盒"等)升級通道被利用散播"DTStealer"病毒。病毒進入電腦後,繼續通過"永恆之藍"高危漏洞進行全網傳播(特別是政企單位局域網),並回傳被感染電腦的IP地址、CPU型號等信息。病毒服務器只開放了不到10個小時即關閉,但是已經感染數萬臺電腦。火絨工程師推測,病毒團伙當時可能是在進行傳播測試。
點評:比病毒本身可怕的是,它們還懂得風險和試水。
新星獎:"微信掃碼"收贖金的新型國產勒索病毒
時間:12月1日
一種新型的勒索病毒在國內爆發, 4天時間內就感染10萬用戶。該勒索病毒並不勒索比特幣,而是要求受害者通過微信掃碼支付贖金。此外,病毒除了鎖死文件,還竊取了數萬條支付寶、淘寶、京東等賬戶密碼。火絨也在第一時間升級產品並推出解密工具。
該勒索病毒利用"供應鏈汙染"的方式傳播,通過感染編程工具"易語言"中的模塊,擴散到使用該工具編譯後的軟件。通過技術溯源,火絨追蹤到疑似該病毒製作者,並將信息提交給警方。12月6日,警方在東莞抓獲嫌疑人羅某。
點評:能讓比特幣跌份兒的勒索病毒支付方式。
熱點獎:"雙十一"前後大爆發的流氓軟件
時間:11月
根據火絨安全團隊的監測、統計和分析,2018年 "雙十一"前後,流氓軟件爆發達到全年頂峰。10餘款知名軟件(包括360家族、2345家族、布丁系列軟件)通過"廣告彈窗"、"靜默推廣桌面快捷方式"等方式,日均襲擾近8000萬臺電腦,日均流氓推廣1.7億次。並且,這段時間侵權彈窗的樣式有上百種之多,形式也是多種多樣,包括全屏彈窗、居中彈窗、右下角彈窗、托盤閃爍提示彈窗等,並且均為天貓的廣告。
由於2345、布丁等軟件的侵權行為完全病毒化,已被"火絨安全軟件"當作電腦病毒查殺。
點評:電商有多狂歡,流氓有多囂張。
演技獎:偽裝成激活工具的病毒"FakeKMS"
時間:8月30日
病毒"FakeKMS"偽裝成"小馬激活"、"KMS"等知名激活工具,通過激活工具下載站點進行傳播。病毒不具備任何激活功能,一旦入侵用戶電腦,會立即劫持瀏覽器首頁,同時還會靜默安裝360安全瀏覽器和2345瀏覽器,進而牟利。另外,該病毒還會通過內核級對抗手段躲避安全軟件查殺。
點評:掛的是爛羊頭,賣的是毒狗肉。
勞模獎:傳播病毒和多款流氓軟件的"快壓"
時間:7月11日
知名壓縮軟件"快壓"在年中時用一輪演出詮釋了什麼叫多才多藝:傳播木馬病毒"Trojan/StartPage.ff",劫持被感染電腦瀏覽器首頁;還懂得流氓之道,在用戶電腦中彈出廣告、創建"淘寶"、"百度"桌面快捷方式;此外, "快壓"還會推廣其他流氓軟件("小黑記事本"、"ABC看圖"等)。火絨工程師通過查詢註冊信息發現,"快壓"與其推廣的部分流氓軟件或系同一個團隊製作。
點評:我是勞模"快壓",希望2019年,"病毒"、"流氓"兩開花。
霸道獎:全面劫持各大主流瀏覽器的後門病毒"Humpler"
時間:6月21日
後門病毒"Humpler"偽裝成多款小工具(如:老闆鍵、屏幕亮度調節等),通過2345軟件大全等多個知名下載站進行傳播。病毒入侵電腦後,會劫持QQ、360、搜狗等(市面上所有主流)瀏覽器首頁。
它的霸道不僅在於劫持的瀏覽器多,而且在運行前會彈出彈框,假模假樣詢問用戶是否"願意支持"該軟件,最終用戶無論選擇支持還是不支持,病毒都會劫持瀏覽器首頁。
點評:劫持的最高境界,就是不挑,是個狠毒。
巔峰獎:通過四十餘款破解工具瘋狂傳播的病毒"Socelars"
時間:5月25日
病毒"Socelars"通過KMSpico、AdobePhotoshop等四十餘款軟件破解工具進行傳播。該病毒會利用被感染用戶的facebook臨時登錄憑證,專門竊取用戶當前綁定的信用卡賬戶、好友信息等隱私數據。
由於國內外大多數安全廠商會將破解工具識別為病毒,不論它是否真的包含惡意代碼。所以,很多用戶在下載使用破解工具時,會認為安全軟件的報毒都是誤報,直接關閉安全軟件,或選擇信任,形成了心理盲區。
點評:攜四十款破解工具出征,感覺"毒生"已經到達了巔峰。
心機獎:暴風等知名軟件廣告頁遭病毒團伙的"掛馬攻擊"
時間:4月13日
暴風等多家知名軟件、網站的廣告頁面遭到病毒團伙的"掛馬攻擊"。用戶訪問該頁面,即會觸發IE瀏覽器漏洞,導致病毒代碼被自動激活。病毒入侵電腦後,會篡改網銀轉賬信息,並且可以隨時通過後門遠程操控用戶電腦,進行其他破壞行為。此外,該病毒還會利用用戶電腦瘋狂"挖礦";以及強行將用戶添加到一個QQ群中,並禁止退群、舉報等操作。
點評:暴風在"掛馬攻擊"的風暴中成了背鍋俠。
經濟獎:暗藏惡意代碼劫持流量的"ADSafe"
時間:3月9日
"ADSafe淨網大師"、"清網衛士"、 "廣告過濾大師"等多款知名軟件暗藏惡意代碼,偷偷劫持用戶流量。這些軟件出自同一公司,功能類似,主要是屏蔽網頁廣告。根據技術分析,三款軟件都會通過替換計費名(不同網站和上游分成的標識)的方式來劫持流量,牟取暴利。其劫持網站數量為近年最多,已達50餘家,包括國內多家知名導航站、電商以及在線消費交易平臺等。
點評:"大師"和"衛士"們的副業做的風生水起。
閱讀更多 火絨安全實驗室 的文章
