0x1 概述

腾讯御见威胁情报中心监测发现速浪系列软件突然异常活跃，异常联网行为明显增加，监控数据表明，受该软件家族影响的电脑约50万台。遂对引发该异常的速浪输入法、速浪桌面、速浪极速浏览器、极速拷贝、小熊拷贝、速浪下载器、速浪游戏盒、速浪天气、速浪日历等软件做了应急分析。

结果发现，速浪软件家族普遍存在锁用户主页，无法卸载、弹出广告、在用户桌面反复创建快捷方式等严重影响用户使用体验的违规行为。同时，该家族软件还新增了创建虚拟桌面，在虚拟桌面中根据云端控制大量僵尸帐号自动登录YY直播，为指定主播投票、刷评论等手段营造虚假人气。

速浪家族软件的流量造假操作完全受云端服务器指令控制，使用大量僵尸帐号在虚拟桌面登录刷量时，会自动屏蔽音效播放，以免被用户发现。

速浪家族系列软件早在2014年就令网民十分头疼，至今在搜索速浪输入法等软件时，搜索引擎会自动推荐关联搜索“无法卸载”。而该软件活跃度的突然飙升，疑与违规软件经营者找到“流量造假”这种新的盈利模式有关。

0x2 详细分析

“速浪输入法”的程序在安装时会注册一个名为srfsrv的服务，该服务指向可执行程序CutrixSr.exe常驻在机器上，一旦发现用户机器安装YY软件，则会拉Cutrix.exe开始刷量。

Cutrix.exe启动后即像服务器请求任务，附带启动的时间。

服务器返回JSON格式指令，start若是0则sleep N秒后退出程序，说明云控暂时关闭

若start为1则说明云控开启主播人气推广模式，服务器会返回一批僵尸粉账号信息，JSON内容：

启动room_id则是被推广的主播房间ID，member_user、member_password对应僵尸粉的用户名和密码。

接着，结束本机yy进程，清除本机登录过的yy账号，并重新安装YY，目的是为了消除本机的自动登录，实现键盘鼠标模拟登录。

重装yy

创建虚拟桌面，以防在推人气时被用户发现。

启动YY安装包

在检测到完成界面后，模拟点击“立即启动”

YY启动后，查找登录窗口

输入僵尸号用户名和密码登录：

启动一线程，监视yy状态，检测到异常后，会结束yy进程，重新登录，或者重新请求僵尸号

目前功能主要有4个，都是提升主播人气的功能：

给主播投票

频道发言

为了不引起怀疑，样本在启动后会Hook掉声音相关函数，这样一来僵尸粉在后台刷人气的时候用户就听不到任何动静！

0x3 同源分析

根据父子文件的对比，发现两个文件的签名并不一致，左侧为Cutrix.exe文件，右侧为CutrixSr.exe，可见两个签名同属一家公司。

根据签名，我们又找到该签名下另几款产品：小熊拷贝

而小熊游戏盒会捆绑一些软件

看似有勾选按钮，其实只要点击取消勾选，软件界面会逃到另一个地方，避免被点击到，而且会快速进入推装模式。

小熊拷贝的版本信息

与刷量模块内置的服务器地址吻合

从注册的公司名看，这些都属于同一伙人。

0x4 安全建议

速浪家族系列违规软件自2014年起，已令无数网民头疼不已。其干扰用户电脑使用体验的行为并无任何收敛迹象，速浪家族系列软件新增直播刷量盈利模式，会消耗较多系统资源，其反复安装、在虚拟桌面中自动登录，自动发言、自动投票等行为，与木马无疑。在用户电脑安装云端控制软件，也会留下严重安全隐患。

腾讯御见威胁情报中心建议用户谨慎安装速浪输入法、速浪桌面、速浪极速浏览器、极速拷贝、小熊拷贝、速浪下载器、速浪游戏盒、速浪天气、速浪日历等软件，以免成为违规软件的受害者。

*本文作者：腾讯电脑管家，转载请注明来自FreeBuf.COM