[zt]迅雷被曝制造并传播病毒,数千万用户成肉鸡
卡饭病毒样本区分析:http://www.kafan.cn/forum.php?mod=viewthread&tid=1608253近日有许多用户发现电脑操作系统内部有可疑程序正在运行,而根据可疑文件的数据签名提示,这一程序正是来自用户的装机必备客户端软件——迅雷。
据不完全统计,截止目前该病毒已通过迅雷客户端扩散近两个月,已有超过2800万用户中招,并且依然每天有几十万在扩散运行。
自6月下旬已有用户不断反馈电脑存在异常,发现一个位于C:\Windows\System32目录下,名为“INPEnhSvc.exe”带有迅雷数字签名的文件,经专业技术人士分析INPEnhSvc.exe的7个版本,被证实内置后门,并且使用类似云指令的技术来强制后台干扰和修改用户电脑,感染量已超过数千万电脑。随后,这一异常被迅雷持续进行至今。
迅雷制造并传毒是否属实?360、金山等杀毒软件公司将此程序已认定为典型病毒,并已掌握确凿证据。相关技术人员从用户机器上将此文件取回,经过逆向分析,发现该病毒INPEnhSvc.exe的主要功能:
1、独立于迅雷的自启动后门程序,未经用户允许植入Windows的系统目录,开机自启动。
2、根据云端配置文件的指令,在用户电脑上修改IE浏览器首页,在IE收藏夹中添加网址。
3、病毒配置多种apk,会后台下载安装adb(Android手机驱动),当用户手机连接至电脑上,会在用户手机上静默安装若干种互联网软件。
4、后门会监测若干种系统管理工具和软件调试分析工具,一旦发现,后门会停止危险动作,以达到隐藏目的。
而这一切都是在用户毫不知情的环境下全后台进行的操作,并且用杀毒软件也查杀不了。可以说,迅雷可以通过该病毒在数亿装有迅雷客户端软件的用户电脑及手机上为所欲为。
此前有传闻表示,迅雷制造并传毒的背后是利益驱使,高层方面则对此行为给予了默许。
报料人称,目前已有人向公安部门进行了举报,公安部门回复称正在调查取证,调查进程不便对外透露。
一位法律界人士表示,根据中国《刑法》第二百八十六条,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
如调查属实,迅雷网络的掌舵人邹胜龙或将面临刑事犯罪,而迅雷的“上市梦”也将破灭。
截至稿件发布,迅雷公司市场部对此消息并未进行回应。
事实说明迅雷就是个纯SB,即使不是高层授意那也要背负一个监管不力的责任
我去年买了个表,好好搞你的会员业务不就好了,犯什么傻 尊享版,没找到这个可执行文件,内存里没有这个进程 我在尊享也没有找到,可能是普通版本存在的问题 金山火眼认证安全。
http://fireeye.ijinshan.com/anal ... 1a8dcb944caeadc8d8f
过所有杀毒软件
https://www.virustotal.com/zh-cn ... nalysis/1375416608/
编者注:以下内容为迅雷内部针对此事的内部邮件)邮件一
这封邮件是工作人员在收到迅雷看看的用户反馈,分析后发送邮件抄送迅雷各大高管以及迅雷看看高管,认为此事件是给用户安插病毒,给个别人谋取私利
昨天接到用户反馈,发现一个位于C:\Windows\System32目录下,名为“INPEnhSvc.exe”带有迅雷数字签名的文件。(见附件INPEnhSvc.ex)
我们从用户机器上将此文件取回,经技术人员逆向分析,发现该文件有病毒行为。
“INPEnhSvc.exe”是一个服务,加/regserver参数可注册启动。
启动后有3次服务器连接,访问2个域名分别为:
http://conf.kklm.n0808.com(下发配置文件)
http://kkyouxi.stat.kankan.com
从n0808.com中拉取2个配置文件。(见附件1 2 3.txt)
1.txt配置了程序行为,检测到“taskmgr.exe|tasklist.exe|procexp.exe|procmon.exe|devenv.exe|windbg.exe|
filemon.exe|ollyice.exe|ollydbg.exe|processspy.exe|spyxx.exe|cv.exe|wireshark.exe”等分析工具会自动退出,防止被发现。
2.txt配置了如下apk,满足某些条件,该程序会后台下载安装adb(安卓手机驱动),并将如下APK自动安装到连接至当前计算机的手机上。
http://down4.game.uc.cn/wm/4/4/J ... roid_Build20130624_
48004_1538390bd246.apk(九游棋牌大厅)
http://dl.sj.91.com/business/91s ... ndphone_lite134.apk(91手机助手)
http://shouji.360tpcdn.com/360sj ... /com.qihoo.appstore
_199801_143149.apk(360手机助手)
http://wap.uuwldh.com/down/1263/uuwldh_1263.apk(UU网络电话)
http://down.gfan.com/gfan/produc ... anMobile_web414.apk
(机锋应用市场)
程序内还有”设置IE首页、创建桌面快捷方式、添加IE收藏夹“等行为,都由2.txt这个配置文件配置。
外界已经有人注意到该文件,我们昨天已经排除文件通过迅雷7客户端部署的可能性,但由于带有迅雷数字签名,会导致用户迁怒于迅雷7,将迅雷7卸载。
邮件二
这封邮件是迅雷开发部门一位高管非常愤怒,将此邮件上升了高度,并认为有人在利用职务之便进行商业犯罪,要求彻查此事
发现带有迅雷数字签名的未知文件,经分析有病毒行为我和我的小伙伴们都惊呆了!!代表迅雷的一名开发人员表示震惊和愤怒!!!!
从该exe的特征和行为来看,属于典型的后门软件和病毒,并且使用类似云指令的技术来强制后台推送用户不需要的东西,来达到不可告人的目的,堂堂迅雷竟然能出现如此无耻下流的软件,若被杀毒软件拦截列入黑名单,后果不堪设想,迅雷长期积累的信誉将毁于一旦!迅雷公司的数字签名也可能陷入万劫不复的境地,祸及公司广大的产品包括迅雷7、xmp以及BOLT引擎等等众多产品和模块,不能不让人震惊!
该软件带有迅雷数字签名,只有两种情况,一种是泄露数字签名导致,一种是内部员工和团伙所为。从规模来看,涉及到客户端开发(并且具有一定的反逆向保护)、外网服务器,云指令推送,服务器管理后台等技术,并且使用了kankan.com的域名,推送apk肯定还涉及商业利益链包括揽活、销赃等,所以可以确定内部团伙作案的可能性非常大,凭一己之力很难做到这么大规模,并且外网高手即使有数字签名,也不大可同时控制kankan.com下的域名。
客户端样本我也拿到一份,不得不说可笑,只凭此鸡鸣狗盗的雕虫小技就想鱼目混珠,瞒天过海?置迅雷的广大开发人员于何处?后台自动下载apk强制安装,众所周知当前手机应用推广的利润率惊人,单次安装激活就有1元到数元,所以这个软件究竟在发现之时已经散步到多大市场?后面的灰色利益链又是如何?幕后黑手又是谁?
从google搜索结果来看,外网已经有众多用户反馈和抱怨,从反馈用户的ip来看,多是出于二三线小城市,真是用心良苦!!!如果是内部员工所为,那么作为迅雷的开发人员,以权谋私,利用公司的渠道尤其是下载部的迅雷7来满足私欲,为所欲为,不计后果,缺乏最基本的职业素质,令人不齿!
恳请公司彻查此事,给所有开发人员一个交代:
1.请专业杀毒软件公司比如金山来分析病毒样本,出具病毒分析报告
2.从kkyouxi.stat.kankan.com域名出发,顺藤摸瓜找出作案人
3.发掘该病毒的利益链条,找出幕后黑手
4.严格控制数字签名,采用更安全的机制来控制签名流程,保证所有被签名文件可回溯,杜绝可能的数字签名泄露
邮件三
这封邮件是迅雷看看先是找了某中层出来顶罪,并找各种理由来搪塞
首先先给大家道歉一下,此次事故是近期我们推出的OFFICE插件的产品BUG所导致的问题,INPEnhSvc.exe是Office插件系统的守护程序,负责拉取配置与上报统计;INPEnhUD.exe是自升级程序,负责拉取升级配置升级Office插件系统。但旧版本的升级程序有Bug,导致守护程序不存在时拉起会弹框报错,守护程序自身也有内存泄漏的问题,所以在25号发了一个自升级版本修复这两个问题,降低对用户的影响,目前产品还在持续完善中。
至于推送九游棋牌大厅、91手机助手、360手机助手、UU网络电话、机锋应用市场的事情,是之前经过F总审批用于置换对应平台广告位置,来推广无线看看APK之用。2013年我们设定的无线看看的日新增目标数量达到15万每天,根据之前邮件中的价格1元到数元来看的话,那么一天就是15万元RMB起,一个月就是450万,一年就是5400万RMB。而公司给到的预算只有800万用于无线推广,目前还都用在了和品牌硬件厂商合作预装上面,如果不通过换量很难完成任务目标。同时,迅雷所有无线产品的量都非常小,很难实现等价兑换,无奈之下才破例采取插件推送的形式进行换量操作。
其中九游棋牌大厅为UC浏览器的产品,其他的就不用介绍了,通过帮他们推广手机端应用,他们来帮我们推广无线看看,达到换量的目的。从实际效果来看,我们帮他们带量的情况很不乐观,部分平台仅为他们帮我们带量的十分之一。下面是他们帮我们推广产品的截图,带量情况及推广的排期表(实际执行远大于这些排期),请大家查看!
最后,由于功能BUG给用户带来的问题,我们25号的升级版本已经解决,目前正在升级中,在此我们也深表歉意。但是仍然由衷希望大家在没调查好事实真相前,不要随意猜测,这样不仅影响内部团结,而且不利于解决已经发生和未来有可能会出现的问题,谢谢!
邮件四
这封邮件是迅雷客户端一位高管对迅雷看看中层顶罪表示愤怒,并将该事危害程度拔高
作为迅雷客户端的维护人员,无论是谁出于何种初衷通过何种手段部署了这个程序,从结果上来看,迅雷客户端的声誉已经首当其冲的受到了严重损害,已经成为用户怒而卸载迅雷的原因,已是我的职责所在,很关心这个事情的进展。
现在已经澄清了是业务团队为了更好的实现置换推广为之,并非严重的安全问题。本来可以藏的很好,不被用户,甚至自家的开发人员感知,只是因为出了内存泄漏的bug才被大家关注起来,把bug解了这事就解决了?能否定这是一种病毒行为?藏的再好,也怕用户找;杀毒软件现在没报,以后就不会报?现在反馈的少,以互联网的传播速度也许哪天就大爆炸。
及早被发现难道不是好事?迅雷平台有很多更加正常,更加优雅,更加对用户友好的的推广渠道,为何不考虑? 看一下这个程序的行为:带着迅雷的数字签名,以迅雷的名声作保,做的是静默下载并且安装App到用户手机,更改用户收藏夹之类的事情,加上一些反调试保护,无法停用无法删除。
这是严重伤害用户体验的活脱脱的病毒行为,不知情的开发人员看到这种程序的第一想法一定是“这是个病毒呀,迅雷不应该干这个,太伤名声了”,“谁为了啥干的”之类的猜测是非常正常的,为公司利益着想讨论问题细节并且希望彻查以儆效尤为先而作言,而不是为了所谓团结而沉默。
置换推广的策略是非常正确的,我想这也是领导审批通过的原因吧。但是执行手段是这样的病毒行为,和公司推行用户体验至上的原则是背道而驰的。
迅雷一丝一毫的用户体验改进都是各位同学殚精竭虑通宵达旦的辛苦付出得来的,迅雷一点一滴的用户口碑积累都是经年累月长期沉淀出来的,为了节省金钱和时间成本,采用这样的手段,对用户体验和迅雷口碑的伤害难道不是让公司付出了更大的成本?不是审毫毛小计而遗天下大数?岂非饮鸩止渴杀鸡取卵,涸泽而渔焚林而猎?
如果这样的行为被认可,必然有人趋之如骛,置公司的整体利益于何地,其他同学的劳动于何地?想到这个令人不寒而栗。
由衷希望以病毒形式来推广的做法立即停止,而不是改了bug继续来。 位微言轻,不吐不快。 所有渣雷版本都會/可能遇到散毒狀況嗎?太可怕了
我最近一周重灌OS是為了什麼…… 也许又是抹黑迅雷而已...
我没装迅雷.也懒的去下一个再安装...
S1有网友以前安装有过这个文件吗 邮件里内容如果是真的话,那就不是本体散布的。而是迅雷出品的带OFFICE插件的客户端,搜了一下能找出来的是迅雷随身盘。 这不是作死么……现在就看旋风啥的会不会火上浇油了 唉?看了下我vip版没这个文件 国产的大公司软件的东西还是用国人精简/优化/绿色版吧 借串求個好用的5.9吧,官方找的竟然在關閉后報錯 我用的是小锋的尊享精简版,如今已经没有下载了,因为尊享版要破解不容易 没看到有这个程序 Realplayer 发表于 2013-8-16 20:19
借串求個好用的5.9吧,官方找的竟然在關閉后報錯
在独木成林那不是有吗?ayu,jaxon随便选 邮件里不是说了吗是看看干的 死天使 发表于 2013-8-16 20:37
在独木成林那不是有吗?ayu,jaxon随便选
只找到7.9的啊
7.9的UI一直不習慣,已經好幾次誤刪除幾十G下到90%+的東西,只能重下 迅雷vip表示没有发现问题 Realplayer 发表于 2013-8-16 20:55
只找到7.9的啊
7.9的UI一直不習慣,已經好幾次誤刪除幾十G下到90%+的東西,只能重下 ...
http://ishare.iask.sina.com.cn/f/13127198.html 所以我早就放弃迅雷诡异IDM了。。。可惜迅雷离线还是要用。。。 老老实实的卖你的离线服务,别折腾那么多幺蛾子软件成么 死天使 发表于 2013-8-16 21:14
http://ishare.iask.sina.com.cn/f/13127198.html
這個不錯 奥蕾莉亚 发表于 2013-8-16 22:16
所以我早就放弃迅雷诡异IDM了。。。可惜迅雷离线还是要用。。。
离线可以用网页版的,idm你是用哪个版本稳定 尊享版
同没搜到这个文件 :D实习程序员干的吗 死天使 发表于 2013-8-16 22:28
离线可以用网页版的,idm你是用哪个版本稳定
最新版IDM是个好软件值得30欧买正 KULA 发表于 2013-8-16 22:40
实习程序员干的吗
不一定哈,外野孙鸭子不是落网了吗 我普通版没有找到 vip没找到。 迅雷VIP表示木有发现 现在才暴出来 我手机连过电脑,没被装过什么东西。到是360整天乱给我手机装东西,电脑的360手机卫士手机一连就有,删了好几次了。 这个有点玄 我一直用国人精简版所以不知道有没有事 顺便问一下 迅雷 尊享版 怎么屏蔽启动弹窗? 普通版迅雷用户表示没找到这东西。
页:
[1]
2