0x1 概述
腾讯御见威胁情报中心监测发现速浪系列软件突然异常活跃,异常联网行为明显增加,监控数据表明,受该软件家族影响的电脑约50万台。遂对引发该异常的速浪输入法、速浪桌面、速浪极速浏览器、极速拷贝、小熊拷贝、速浪下载器、速浪游戏盒、速浪天气、速浪日历等软件做了应急分析。
结果发现,速浪软件家族普遍存在锁用户主页,无法卸载、弹出广告、在用户桌面反复创建快捷方式等严重影响用户使用体验的违规行为。同时,该家族软件还新增了创建虚拟桌面,在虚拟桌面中根据云端控制大量僵尸帐号自动登录YY直播,为指定主播投票、刷评论等手段营造虚假人气。
速浪家族软件的流量造假操作完全受云端服务器指令控制,使用大量僵尸帐号在虚拟桌面登录刷量时,会自动屏蔽音效播放,以免被用户发现。
速浪家族系列软件早在2014年就令网民十分头疼,至今在搜索速浪输入法等软件时,搜索引擎会自动推荐关联搜索“无法卸载”。而该软件活跃度的突然飙升,疑与违规软件经营者找到“流量造假”这种新的盈利模式有关。
0x2 详细分析
“速浪输入法”的程序在安装时会注册一个名为srfsrv的服务,该服务指向可执行程序CutrixSr.exe常驻在机器上,一旦发现用户机器安装YY软件,则会拉Cutrix.exe开始刷量。
Cutrix.exe启动后即像服务器请求任务,附带启动的时间。
服务器返回JSON格式指令,start若是0则sleep N秒后退出程序,说明云控暂时关闭
若start为1则说明云控开启主播人气推广模式,服务器会返回一批僵尸粉账号信息,JSON内容:
启动room_id则是被推广的主播房间ID,member_user、member_password对应僵尸粉的用户名和密码。
接着,结束本机yy进程,清除本机登录过的yy账号,并重新安装YY,目的是为了消除本机的自动登录,实现键盘鼠标模拟登录。
重装yy
创建虚拟桌面,以防在推人气时被用户发现。
启动YY安装包
在检测到完成界面后,模拟点击“立即启动”
YY启动后,查找登录窗口
输入僵尸号用户名和密码登录:
启动一线程,监视yy状态,检测到异常后,会结束yy进程,重新登录,或者重新请求僵尸号
目前功能主要有4个,都是提升主播人气的功能:
给主播投票
频道发言
为了不引起怀疑,样本在启动后会Hook掉声音相关函数,这样一来僵尸粉在后台刷人气的时候用户就听不到任何动静!
0x3 同源分析
根据父子文件的对比,发现两个文件的签名并不一致,左侧为Cutrix.exe文件,右侧为CutrixSr.exe,可见两个签名同属一家公司。
根据签名,我们又找到该签名下另几款产品:小熊拷贝
而小熊游戏盒会捆绑一些软件
看似有勾选按钮,其实只要点击取消勾选,软件界面会逃到另一个地方,避免被点击到,而且会快速进入推装模式。
小熊拷贝的版本信息
与刷量模块内置的服务器地址吻合
从注册的公司名看,这些都属于同一伙人。
0x4 安全建议
速浪家族系列违规软件自2014年起,已令无数网民头疼不已。其干扰用户电脑使用体验的行为并无任何收敛迹象,速浪家族系列软件新增直播刷量盈利模式,会消耗较多系统资源,其反复安装、在虚拟桌面中自动登录,自动发言、自动投票等行为,与木马无疑。在用户电脑安装云端控制软件,也会留下严重安全隐患。
腾讯御见威胁情报中心建议用户谨慎安装速浪输入法、速浪桌面、速浪极速浏览器、极速拷贝、小熊拷贝、速浪下载器、速浪游戏盒、速浪天气、速浪日历等软件,以免成为违规软件的受害者。
*本文作者:腾讯电脑管家,转载请注明来自FreeBuf.COM