freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

违规软件再添新业务,秒变直播僵尸粉刷量造假
2018-07-13 08:30:39
所属地 广东省

0x1 概述

腾讯御见威胁情报中心监测发现速浪系列软件突然异常活跃,异常联网行为明显增加,监控数据表明,受该软件家族影响的电脑约50万台。遂对引发该异常的速浪输入法、速浪桌面、速浪极速浏览器、极速拷贝、小熊拷贝、速浪下载器、速浪游戏盒、速浪天气、速浪日历等软件做了应急分析。

结果发现,速浪软件家族普遍存在锁用户主页,无法卸载、弹出广告、在用户桌面反复创建快捷方式等严重影响用户使用体验的违规行为。同时,该家族软件还新增了创建虚拟桌面,在虚拟桌面中根据云端控制大量僵尸帐号自动登录YY直播,为指定主播投票、刷评论等手段营造虚假人气。

速浪家族软件的流量造假操作完全受云端服务器指令控制,使用大量僵尸帐号在虚拟桌面登录刷量时,会自动屏蔽音效播放,以免被用户发现。

速浪家族系列软件早在2014年就令网民十分头疼,至今在搜索速浪输入法等软件时,搜索引擎会自动推荐关联搜索“无法卸载”。而该软件活跃度的突然飙升,疑与违规软件经营者找到“流量造假”这种新的盈利模式有关。

0x2 详细分析

“速浪输入法”的程序在安装时会注册一个名为srfsrv的服务,该服务指向可执行程序CutrixSr.exe常驻在机器上,一旦发现用户机器安装YY软件,则会拉Cutrix.exe开始刷量。

Cutrix.exe启动后即像服务器请求任务,附带启动的时间。

服务器返回JSON格式指令,start若是0则sleep N秒后退出程序,说明云控暂时关闭

若start为1则说明云控开启主播人气推广模式,服务器会返回一批僵尸粉账号信息,JSON内容:

启动room_id则是被推广的主播房间ID,member_user、member_password对应僵尸粉的用户名和密码。

接着,结束本机yy进程,清除本机登录过的yy账号,并重新安装YY,目的是为了消除本机的自动登录,实现键盘鼠标模拟登录。

重装yy

创建虚拟桌面,以防在推人气时被用户发现。

启动YY安装包

在检测到完成界面后,模拟点击“立即启动”

YY启动后,查找登录窗口

输入僵尸号用户名和密码登录:

启动一线程,监视yy状态,检测到异常后,会结束yy进程,重新登录,或者重新请求僵尸号

目前功能主要有4个,都是提升主播人气的功能:

给主播投票

频道发言

为了不引起怀疑,样本在启动后会Hook掉声音相关函数,这样一来僵尸粉在后台刷人气的时候用户就听不到任何动静!

0x3 同源分析

根据父子文件的对比,发现两个文件的签名并不一致,左侧为Cutrix.exe文件,右侧为CutrixSr.exe,可见两个签名同属一家公司。

根据签名,我们又找到该签名下另几款产品:小熊拷贝

而小熊游戏盒会捆绑一些软件

看似有勾选按钮,其实只要点击取消勾选,软件界面会逃到另一个地方,避免被点击到,而且会快速进入推装模式。

小熊拷贝的版本信息

与刷量模块内置的服务器地址吻合

从注册的公司名看,这些都属于同一伙人。

0x4 安全建议

速浪家族系列违规软件自2014年起,已令无数网民头疼不已。其干扰用户电脑使用体验的行为并无任何收敛迹象,速浪家族系列软件新增直播刷量盈利模式,会消耗较多系统资源,其反复安装、在虚拟桌面中自动登录,自动发言、自动投票等行为,与木马无疑。在用户电脑安装云端控制软件,也会留下严重安全隐患。

腾讯御见威胁情报中心建议用户谨慎安装速浪输入法、速浪桌面、速浪极速浏览器、极速拷贝、小熊拷贝、速浪下载器、速浪游戏盒、速浪天气、速浪日历等软件,以免成为违规软件的受害者。

*本文作者:腾讯电脑管家,转载请注明来自FreeBuf.COM

# 流氓软件 # 速浪 # 僵尸粉
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者