快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

背规软件再添新营业,秒变直播僵尸粉刷量造假

0×1 概述

腾讯御见威胁情报中心监测发现速浪系列软件突然异常活跃,异常联网举动显然增添,监控数据表明,受该软件家族影响的电脑约50万台。遂对诱发该异常的速浪输入法、速浪桌面、速浪极速阅读器、极速拷贝、小熊拷贝、速浪下载器、速浪游戏盒、速浪天色、速浪日历等软件做了应急阐发。

效果发现,速浪软件家族普遍存在锁用户主页,没法卸载、弹出广告、在用户桌面反复创建快捷方式等严重影响用户使用体验的背规举动。同时,该家族软件还新增了创建捏造桌面,在捏造桌面中根据云端控制大批僵尸帐号自动登录YY直播,为指定主播投票、刷评述等手段营建虚假人气。

违规软件再添新业务,秒变直播僵尸粉刷量造假

速浪家族软件的流量造假操作完全受云端服务器指令控制,使用大批僵尸帐号在捏造桌面登录刷量时,会自动屏蔽音效播放,以避免被用户发现。

速浪家族系列软件早在2014年就令网民十分头疼,至今在搜索速浪输入法等软件时,搜索引擎会自动推荐关联搜索“没法卸载”。而该软件活跃度的突然飙升,疑与背规软件经营者找到“流量造假”这类新的红利模式有关。

违规软件再添新业务,秒变直播僵尸粉刷量造假

0×2 具体阐发

“速浪输入法”的程序在装置时会注册一个名为srfsrv的服务,该服务指向可执行程序CutrixSr.exe常驻在机器上,一旦发现用户机器装置YY软件,则会拉Cutrix.exe最先刷量。

违规软件再添新业务,秒变直播僵尸粉刷量造假

Cutrix.exe启动后即像服务器要求义务,附带启动的时间。

违规软件再添新业务,秒变直播僵尸粉刷量造假

服务器返归JSON格式指令,start如果0则sleep N秒撤退退却出程序,说明云控暂时关闭

违规软件再添新业务,秒变直播僵尸粉刷量造假

若start为1则说明云控开启主播人气推行模式,服务器会返归一批僵尸粉账号信息,JSON内容:

违规软件再添新业务,秒变直播僵尸粉刷量造假

启动room_id则是被推行的主播房间ID,member_user、member_password对应僵尸粉的用户名以及暗码。

接着,结束本机yy进程,清除本机登录过的yy账号,并重新装置YY,目的是为了消除本机的自动登录,完成键盘鼠标摹拟登录。

违规软件再添新业务,秒变直播僵尸粉刷量造假

违规软件再添新业务,秒变直播僵尸粉刷量造假

重装yy

违规软件再添新业务,秒变直播僵尸粉刷量造假

创建捏造桌面,以防在推人气时被用户发现。

违规软件再添新业务,秒变直播僵尸粉刷量造假

启动YY装置包

违规软件再添新业务,秒变直播僵尸粉刷量造假

在检测到实现界面后,摹拟点击“立即启动”

违规软件再添新业务,秒变直播僵尸粉刷量造假

YY启动后,查找登录窗口

违规软件再添新业务,秒变直播僵尸粉刷量造假

输入僵尸号用户名以及暗码登录:

违规软件再添新业务,秒变直播僵尸粉刷量造假

启动一线程,监视yy状态,检测到异常后,会结束yy进程,重新登录,或者重新要求僵尸号

违规软件再添新业务,秒变直播僵尸粉刷量造假

目前功能首要有4个,都是抬举主播人气的功能:

违规软件再添新业务,秒变直播僵尸粉刷量造假

给主播投票

违规软件再添新业务,秒变直播僵尸粉刷量造假

频道发言

违规软件再添新业务,秒变直播僵尸粉刷量造假

为了避免引起嫌疑,样本在启动后会Hook掉声音相干函数,如许一来僵尸粉在后台刷人气的时辰用户就听不到任何动静!

违规软件再添新业务,秒变直播僵尸粉刷量造假

0×3 同源阐发

根据父子文件的对比,发现两个文件的署名并不一致,左边为Cutrix.exe文件,右侧为CutrixSr.exe,可见两个署名同属一家公司。

违规软件再添新业务,秒变直播僵尸粉刷量造假

根据署名,我们又找到该署名下另几款产品:小熊拷贝

违规软件再添新业务,秒变直播僵尸粉刷量造假

而小熊游戏盒会捆绑一些软件

违规软件再添新业务,秒变直播僵尸粉刷量造假

看似有勾选按钮,实在只需点击取销勾选,软件界面会逃到另一个地方,避免被点击到,而且会快速进入推装模式。

违规软件再添新业务,秒变直播僵尸粉刷量造假

违规软件再添新业务,秒变直播僵尸粉刷量造假

小熊拷贝的版本信息

违规软件再添新业务,秒变直播僵尸粉刷量造假

与刷量模块内置的服务器地址切合

违规软件再添新业务,秒变直播僵尸粉刷量造假

从注册的公司名看,这些都属于同一伙人。

违规软件再添新业务,秒变直播僵尸粉刷量造假

0×4 安全建议

速浪家族系列背规软件自2014年起,已令无数网民头疼不已。其干扰用户电脑使用体验的举动并无任何收敛迹象,速浪家族系列软件新增直播刷量红利模式,会消费较多体系资源,其反复装置、在捏造桌面中自动登录,自动发言、自动投票等举动,与木马无疑。在用户电脑装置云端控制软件,也会留下严重安全隐患。

腾讯御见威胁情报中心建议用户谨慎装置速浪输入法、速浪桌面、速浪极速阅读器、极速拷贝、小熊拷贝、速浪下载器、速浪游戏盒、速浪天色、速浪日历等软件,以避免成为背规软件的受害者。

违规软件再添新业务,秒变直播僵尸粉刷量造假

*

您可能还会对下面的文章感兴趣: