代碼中過濾的大部分網(wǎng)址都為非法網(wǎng)址，其通過本地過濾的方式借其他”灰色流量”為自己賺取流量，打壓“黑色產(chǎn)業(yè)鏈”中的“同行”，借他們的手為自己賺錢。

1) 釋放安全軟件的白名單庫：Type(EXEFILE)_Name(BAIDUSD7)_Lang(0×804)和Type(EXEFILE)_Name(QQPCMGR)_Lang(0×804)都是壓縮包，前者壓縮的文件是百度殺毒的白名單數(shù)據(jù)庫，后者為騰訊電腦管家的白名單數(shù)據(jù)庫及相關(guān)配置。

圖3-7. 百度殺毒白名單數(shù)據(jù)庫設(shè)置

由于該病毒的“入場”時間早于安全軟件，當安全軟件安裝時，會誤認為這些白名單配置為之前安裝后保留的配置，使得病毒可以通過修改安全軟件白名單的方法直接繞過安全軟件查殺。

1) 病毒使用的一些基礎(chǔ)工具，包含命令行版的7z程序包等。

在“qddsghost.exe”啟動之后還會調(diào)用“srcdll.dll”動態(tài)庫中的導出函數(shù)“shifanzyexedll”。在該動態(tài)庫中，我們也發(fā)現(xiàn)了很多資源，除了修改首頁的批處理文件之外，其余全部都是可執(zhí)行文件。

下圖中顯示了srcdll.dll文件釋放出來的文件之間的相互關(guān)系，其首先會釋放最上邊的三個深色的可執(zhí)行文件，通過對這三個文件的運行和分析，我們又得到了四組惡意程序。

圖3-8. srcdll.dll釋放文件關(guān)系圖（圖中標號與下文對應(yīng)）

第一組：“QQBrowser.exe”和“QQBrowser.reg”?？蓤?zhí)行文件會將注冊表文件導入到系統(tǒng)中，其將QQ瀏覽器的首頁修改為病毒的跳轉(zhuǎn)頁。

第二組：“Home.exe”和“pic.exe”都會修改IE首頁，“pf.exe”是釋放出了很多網(wǎng)址鏈接文件和加了網(wǎng)址參數(shù)瀏覽器快捷方式用于其進行“流量變現(xiàn)”，在WIN7系統(tǒng)下其還會釋放“淘寶商城.exe”，該程序會打開帶有推廣付費號的“愛淘寶”網(wǎng)址鏈接。“pf.exe”程序運行效果圖如下：

圖3-9. “pf.exe”運行效果圖

第三組：“sdff.exe”運行后會在桌面上建立了“story.exe”和“tutule.exe”的快捷方式，其兩者會跳轉(zhuǎn)到兩個不同的推廣頁。除了釋放上述文件和快捷方式外，其還會釋放出“Bloom”病毒，每隔一段時間就會修改用戶的瀏覽器快捷方式中加入推廣網(wǎng)址。

第四組：“Project1.exe”會將“360safte.dll ”注冊為BHO（Browser Helper Object）插件，其會劫持瀏覽器訪問的網(wǎng)址。該插件會根據(jù)自己在http://bho.66***5.com/config.txt上的劫持列表，在瀏覽器訪問其中的網(wǎng)址時將其劫持為帶有推廣付費號的網(wǎng)址鏈接。如果系統(tǒng)中還有其他的程序在進行廣告推廣時，這些流量最終都會流進病毒作者的“腰包”，使得該病毒不但成為了其截取流量的工具，也成為了其用來“黑吃黑”的牟利工具。

圖3-10. 病毒劫持網(wǎng)址列表

通過對以上四組文件的分析，我們發(fā)現(xiàn)了“啟動大師”釋放的所有病毒都是為了進行“流量變現(xiàn)”的，其所涉及的大型網(wǎng)站之多讓人不禁嗔目結(jié)舌。以上四組病毒所涉及的網(wǎng)址站點如下：

l 百度（www.baidu.com）

l 淘寶聚劃算（ju.taobao.com）

l 天貓商城（jx.tmall.com）

l 愛淘寶（ai.taobao.com）

l 京東商城（www.jd.com）

l 一號店（www.yhd.com）

l 搜狗網(wǎng)址導航（web.sougou.com）

l 2345網(wǎng)址導航（www.2345.com）

l Hao123網(wǎng)址導航（www.hao123.com）

l 黃金屋（www.35kxs.com）

l 女人街（www.womenjie.com）

在使用“啟動大師”之后，其所釋放的眾多程序通過相互配合源源不斷地為其作者劫持“灰色流量”，通過高隱蔽性的偽裝對“盜版用戶”造成了高級的、可持續(xù)性威脅，使用戶成為了病毒作者刷取“灰色流量”的“肉雞”。用戶在搜索、網(wǎng)購、瀏覽互聯(lián)網(wǎng)媒體信息時，這些非法流量會將源源不斷地計入這些病毒所用的計費賬號。

“啟動大師”的“病毒制作團隊”以PE工具箱為誘餌，借助用戶安裝盜版系統(tǒng)的“剛需”將病毒在系統(tǒng)還原的時間點釋放到用戶的計算機中，以多種形式進行“流量變現(xiàn)”，嚴重侵害了用戶切身利益。對于該病毒的上述惡意行為，針對與該病毒相關(guān)的所有樣本火絨已經(jīng)率先進行查殺。

暗藏在“灰色流量”源頭的幕后黑手仿佛已經(jīng)浮出水面，但是究竟誰才是這種“瘋狂套利”現(xiàn)象背后的推手？為何用戶長時間處于病毒威脅之中卻又無人過問？我想這是值得我們每個人深思的問題。

四、結(jié)論

隨著國內(nèi)互聯(lián)網(wǎng)環(huán)境的日益復(fù)雜，如今的用戶所面對環(huán)境的復(fù)雜程度史無前例。內(nèi)有“啟動大師”這樣的“流氓當?shù)?rdquo;，外有勒索病毒一類高威脅性病毒對我們的虎視眈眈，對于一個普通用戶而言，能夠保證自己遠離這些威脅已經(jīng)實屬不易。但是隨著當今互聯(lián)網(wǎng)中“套利方式”的不斷翻新，每天互聯(lián)網(wǎng)中都會出現(xiàn)新的病毒、流氓軟件威脅用戶的信息安全和切身利益。

如今的互聯(lián)網(wǎng)環(huán)境之下，用戶電腦在無孔不入的病毒面前很容易失守，再加之國內(nèi)的大型互聯(lián)網(wǎng)公司本身對流量有著長期、迫切的需求，使得病毒和流氓軟件的制造者瘋狂的在攻擊手段和套路上無所不用其極。

互聯(lián)網(wǎng)環(huán)境日益復(fù)雜，而國內(nèi)的互聯(lián)網(wǎng)企業(yè)對于網(wǎng)絡(luò)安全的重視程度有待提升，從而造成“黑色產(chǎn)業(yè)鏈”的參與者也加入了國內(nèi)的互聯(lián)網(wǎng)大潮，造成了當前互聯(lián)網(wǎng)中惡意競爭事件屢見不鮮。一些互聯(lián)網(wǎng)公司受到了這些“快速變現(xiàn)”的“邪門歪道”的影響，逐漸的也把重點放在了想方設(shè)法獲取用戶瀏覽，促進公司業(yè)績上，對于見效慢、盈利周期長的主營業(yè)務(wù)則漸漸降低了成本，以此為循環(huán)不斷地追求高績效、高收益。

而這些不也正是當前國內(nèi)經(jīng)濟市場存在“產(chǎn)能過剩”的根源嗎？長此以往定會影響國內(nèi)互聯(lián)網(wǎng)的健康發(fā)展。過剩的“灰色流量”不但降低了用戶的使用體驗，也大大地影響的急需廣告推廣的互聯(lián)網(wǎng)企業(yè)的企業(yè)形象及推廣質(zhì)量。 

五、附錄

文中涉及樣本SHA1

最新評論