شبكة لى فنغ من قبل: 1 يونيو، أصدرت الشركة الأمنية المعروفة حاجز تقرير، وجدنا البرمجيات المارقة التي تسيطر عليها الشركات الصينية "كرة النار (كرة النار)"، وذلك لأن العديد من الضحايا، وقد اجتذب انتباه الأجهزة الأمنية الأجنبية . تم تحليل صوفان الأمن مختبرات مرة الأولى في الحدث الرئيسي والعينة المرتبطة بها. هذا المقال هو تحليل الحدث مفصل، أذنت شبكة لى فنغ الافراج عنهم.

I. نظرة عامة

في "كرة النار (كرة النار)" الحادث، وجد فريق أمني تابع لصوفان متصفح الفرس، صفقة واي فاي ثمانية البرمجيات المارقة البرمجيات، والبرمجيات المارقة الكمبيوتر المصابة سوف كروم الصفحة الرئيسية للمستعرض، الصفحة TAB بدلا لدت عشوائيا البحث الصفحات، ولا يمكن للمستخدمين تغيير. على الرغم من أن الصفحة مختلفة، ولكن صفحات البحث يتم تتبع بيانات ياهو وجوجل، وتكهن فريق الأمن صوفان أن صانعي البرمجيات المارقة للسيطرة على نقرات المستخدم على أرباح الإعلانات ياهو وجوجل.

عند تثبيت والبرمجيات المارقة كشف ما إذا كان الكمبيوتر لديه متصفح كروم، إن لم يكن ثم العيش في سلام، إذا تم مطالبة المستخدم لتثبيت كروم في المكونات، لا تثبيت والمكونات في لن تكون قادرة على تثبيت البرنامج.

ورغم أن هذه البرامج من تشينغ المحلية يي تقنية والتكنولوجيا باركسون وغيرها من الشركات، ولكن الفريق الأمني صوفان من خلال تتبع وجدت أن من قبل المؤلف نفسه "baoyu430@gmail.com" الإنتاج. تسجيل مواقع مختلفة، وإنتاج عدد من البرمجيات المارقة.

هذه البرامج تهاجم فقط متصفح كروم، ولكن النظر في حصة سوق المتصفحات كروم في الخارج، ووصف "كرة النار (كرة النار)" الحدث تأثير كبير، ومستخدمي كروم المحلي يتلقى يجوز أيضا رهينة.

يمكن للمستخدم استعادة الإعدادات عن طريق إلغاء تثبيت متصفح كروم هذه المارقة البرمجيات. حاليا صوفان أمن البرمجيات الدعم الكامل لقتل "كرة النار (كرة النار)" البرمجيات المارقة المتورطين في الحادث.

و"كرة النار (كرة النار)" على الرغم من أن الحادث اندلع في بلد أجنبي، ولكن لها "طريقة العمل" في البلاد منذ فترة طويلة مشتركة، يمكن أن ينظر في طريقة عمل الشبكة المحلية ينتشر إلى العالم.

الثاني، وتحليل الحدث

الزوار نارية (نارية) حدث في كروم برنامج المتصفح خطف شخص ما موجود موقع والتبويب سلوك ضار جديد. بعد تتبع صوفان، والعثور على المزيد من البرامج المشتركة في هذا الحادث، كما هو مبين أدناه:

 قائمة البرمجيات الخبيثة

مع "صفقة واي فاي" البرمجيات، على سبيل المثال، تثبيت كما هو موضح أدناه، إذا كان المستخدم لا تحقق "مجموعة mystart.dealwifi.com في الصفحة الكروم وnewtab"، فإنه لا يمكن متابعة التثبيت. كما هو مبين أدناه:

استخدام صوفان رصد السيف القراد "DealWiFi" عملية التثبيت، يمكنك أن ترى في الخلفية كروم المكونات في تركيبها، كما هو مبين أدناه:

البرنامج المساعد "خطف" واجهة إعداد كروم، كما هو مبين أدناه:

 الكروم خطف الصفحة الرئيسية وإنشاء صفحة علامة التبويب الجديدة

الكروم الصفحة الرئيسية للمستعرض وتعديلها لhxxps: نوع //mystart.dealwifi.com/ = التطبيقات، كما هو مبين أدناه ؟:

 البحث خطف

هذه البرامج المارقة، مثل عملية التثبيت، سوف تضطر لتثبيت كروم المكونات في الاسم واسم البرنامج تثبيت نفسه. هذه المكونات الإضافية متطابقة وظيفيا، URL مقفل الرئيسية وصفحة علامة التبويب الجديدة، التي تحمل اسم "سوسو سطح المكتب" البرمجيات المارقة اضطر أيضا لتعديل محرك البحث الافتراضي.

الطرق المختلفة المحلية وإضافة العامة مع قفل المنزل الأول الترويجية عدد من فيروس المكونات في قفل ليست هي نفسها في الجدول التالي وفقا لتركيب البرمجيات المارقة صفحة البحث مختلفة:

 اختطاف URL من البرامج المختلفة

نحن يمكن العثور عليها من خلال مقارنة نتائج البحث، إلا Holainput تأمين النتيجة النهائية لصفحة البحث سوف تقفز جوجل، وغيرها من صفحات البحث وhxxps: نتائج البحث تتفق //www.yahoo.com خلفية نتائج البحث يشتبه استخدام ياهو. ولكن إذا كنت تستخدم جوجل أو ياهو، والخادم الفيروس يمكن تسجيل بحث المستخدم، والبحث عن معلومات عن تهديد أمني خصوصية المستخدم.

بعد تتبع صوفان، ظهرت معلومات التسجيل فوق العديد من البرامج الضارة الأخرى المسجل باو المطر مع بريدهم الإلكتروني المسجل "baoyu430@gmail.com" المستخدمة.

البحث عن طريق تكنولوجيا المعلومات التجارية المحدودة يي تشينغ، وجدنا اسم التكنولوجيا تشينغ يي لديها ما مجموعه خمسة، حيث هناك علاقة مباشرة مع الفيروسات لديها ما مجموعه ثلاثة، وهي تشينغ يي التكنولوجيا (بكين) المحدودة (المشار إليها فيما بعد بكين يي تشينغ)، تشينغ يي التكنولوجيا (شنغهاي) المحدودة بكين تشينغ يي الغابات المطيرة فرع (المشار إليها فيما يلي باسم شنغهاي تشينغ فرع بكين يي) وتشينغ يي التكنولوجيا (شنغهاي) المحدودة (شنغهاي يي تشينغ).

نحن بتمشيط من خلال فحص المعلومات للشركات، وأوضحنا مبدئيا العلاقة بين تشغيل الشركة المرتبطة بالفيروس، كما هو مبين أدناه:

في جميع أنحاء عمليات الشركة، والأهم من المطر ما لين وباو اصطناعية لشخص ما، ويرتبط مارلين للمستثمرين الرئيسي للشركة، باو يو، كمدير للالرئيسي.

مركز بكين مايكل أنجلو يونس المساهمين الاستثمار معلومات، فقط ما لين وباو يو، عقد الشركة في الطريقة التي تسيطر عليها نسبيا تشينغ يي التكنولوجيا (شنغهاي) المحدودة الوظيفة الأساسية للشركة هي رؤوس الأموال والاستثمارات الخارجية لدمج الموارد.

يي تشينغ شنغهاي هي المسؤولة أساسا عن تطوير حركة متصفح خطف المكونات الإضافية والمواقع ذات الصلة بالتنمية والخدمات في الداخل والخارج، والاستثمار الأجنبي في السيطرة المطلقة عن طريق عقد بكين يي تشينغ، ولها فرع الشركة التابعة شنغهاي يي تشينغ فرع بكين. في المعلومات الخاصة للشركة، وجدنا البرنامج لانتشار الخبيثة المكونات الإضافية، كما هو مبين أدناه:

ونحن أيضا تجنيد الانترنت للعثور على المعلومات عن التوظيف في الشركة، كما هو مبين أدناه:

بكين تشينغ يي مسؤول عن البرمجيات وتطوير اللعبة، وتطوير البرمجيات لخطف تدفق ناقلات الاتصالات والبرمجيات مثل: صفقة واي فاي، سوسو سطح المكتب وFVP Imageviewer وهلم جرا. في المعلومات الخاصة للشركة، وجدنا المزيد من حمل المارقة تعزيز البرمجيات، كما هو مبين أدناه:

فرع شنغهاي تشينغ يي بكين هي المسؤولة أساسا عن تطوير حركة متصفح الاختطاف. الشركة الوظائف العامة، كما هو مبين أدناه:

الثالث، التذييل

SHA1 العينة:

ملاحظة: هذا المقال هو تقديم مختبر أمن صوفان، أذنت شبكة لى فنغ الافراج عنهم.