360第一时间找到了相关程序样本,并进行了分析。现在,我们不妨换个视角来谈谈这个Fireball到底是怎么回事儿。
“复杂的”恶意软件
“复杂的”恶意软件这个评价并不是我们给出的,而是Check Point给出的。(原文:’sophisticated’ malware)
那么,究竟这款恶意软件有多么的“复杂”呢/p>
首先,Fireball相关的恶意软件,会在安装时强制用户勾选同意修改Chrome浏览器主页和新标签页的选项。
然后,恶意软件会向Chrome浏览器中添加相关的扩展程序(也就是很多人俗称的Chrome浏览器插件——虽然这个叫法并不准确)。经分析,扩展程序会通过Manifest.json配置文件,修改Chrome浏览器的主页、起始页和新标签页(截图以DealWifi为例):
manifest.json内容(重点是两个“overrides”)/p>
最后——就没有了!是的,就这么“复杂”。
当然,强制勾选+修改浏览器配置,这已经足够定性为“恶意”了。但说到实质性的“威胁”,Check Point基于全球2.5亿的传播量来说,认为可能“引发全球灾难”,但同时也提到了——只是“有这个能力”而已。(原文:has the power to “initiate a global catastrophe”)
恶意氓!
恶意软件(malware)的说法其实是非常宽泛的,基本可以认为:凡是被安全软件以正当理由拦截的软件(上到蠕虫、木马,下到广告程序)都是恶意软件。但具体到这次的Fireball家族,其实在国内有一个更为大家所熟知的名字——流氓软件。
说到流氓软件,相信国内广大群众都是非常熟悉的。如果把我们对流氓软件的一贯认知套用在这次Fireball事件上,Fireball的行为在“流氓软件”的这个分类中,已经算是很厚道的了。
其一,有安装界面,并且提供明显的勾选项让用户去勾选:
“并没有隐藏卸载项”光凭这一点就比国内某些“正常软件”厚道到不知哪里去了。
其三,卸载项真的管用。换句话说,就是真的能够通过正常的软件卸载方法成功移除该软件。
说实话,真正的核心“流氓”行为其实就在于第一步勾选设置Chrome主页和新标签的选项是强制的,不选不让装。
推广程序之多,当时甚至把测试用的虚拟机给卡死了:
当然,流氓软件推广的程序的场景依然丧心病狂:
一旦双击,全程无安装界面静默安装。安装后该软件会向系统中导入证书:
以上仅是一例,被劫持的并不只有360导航而已。其涉及 站之多,仅从流氓软件导入到系统的证书所签发的域名便可见一斑:
国内流氓软件在与安全软件的对抗中,手段不断升级。而相对的,国内安全软件也在一代又一代流氓软件的洗礼下,实现了监控、查杀、拦截手段的日臻成熟。反观Fireball的这种手法,着实算不得高明。这种程度的推广手法,在国内安全软件面前,可以说是毫无招架之力。
提高警惕,不必恐慌
综上所述,这次的Fireball事件只是国产流氓软件的一次“外销”事件。Fireball不仅在国内传播量很小,在与国内安全软件的对抗中更是毫无威胁可言。所以大家只需对此类流氓软件提高警惕,安装并开启安全软件并及时更新即可。毕竟,我们什么大场面我们没见过!
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!