“OMG”“这也太好看了吧”“买它买它买它”,这是2019年火遍全网的一句洗脑魔音。从美妆、二次元到游戏,凭借着内容的多样性,实时性等优势,网络直播呈现爆发式增长,引领着互联网行业向下一个风口迈进。然而,风口之下也滋生了黑灰产项目,流量暗刷木马就是其中的典型代表。
近日,360安全大脑首家拦截一新型流量暗刷木马,并将其命名为“虎影”。经360安全大脑溯源分析发现,该木马通过寄生妩兮盒子、云顶之弈助手、章鱼盒子等游戏辅助应用扩散,肆虐虎牙等各大直播平台。为免受“虎影”木马影响,360安全大脑建议广大用户下载安装360安全卫士,第一时间清除“虎影”威胁。
木马盯上直播为虎作伥 暗刷流量非法获益
从360安全大脑检监测数据来看,目前“虎影”暗刷木马中招用户日均UV保持在三千左右,若不加以防范控制,威胁极可能进一步加重。从木马扩散路径来看,“虎影”主要寄生在妩兮盒子、云顶之弈助手、章鱼盒子等游戏辅助应用上,而在感染用户机器后,则会借助相关软件的升级通道下发暗刷木马,以恶意刷取虎牙直播平台中的绝地求生、英雄联盟、王者荣耀等游戏版块视频流量,非法获益。
(传播“虎影”木马网站)
经360安全大脑深度解析,不仅找到了传播“虎影”木马的网站,还以妩兮盒子为例,披露了“虎影”木马扩散传播以及执行的全过程。
从“虎影”木马执行过程来看,其中Startup.exe会将自身注册为自启动,且在运行后会执行升级模块LiveUpdate.exe。
完成上述操作后,LiveUpdate.exe会向C&C服务器请求更新配置文件,并下载对应暗刷组件,具体如下图所示:
接下来,暗刷主控程序SystemFramework.exe会每隔25秒,向主控服务器请求一次暗刷配置,并根据配置信息启动browser.exe或client.exe开始执行暗刷操作。值得一提是,暗刷操作中,Browser.exe是一个定制化的cef浏览器,Client.exe是则一个.Net语言编写的刷量客户端,至于选用哪一种方案,则由app字段控制。
木马强占资源刷流量 侵害网站平台权益
第44次《中国互联网发展状况》报告数据显示,截至2019年6月全国网络直播用户规模达4.33亿,网络直播类应用程序的平均使用时长占比达到了4.3%,显然直播用户已成为当下一大主流群体。而像“虎影”一类的流量暗刷木马,在制造虚假网页浏览量和点击量获利的同时,不仅占用宽带资源影响电脑正常运行,还破坏了平台权益及公平原则。这影响了消费者根据网络产品的受欢迎程度所做出的抉择,干扰普通用户做出符合预期的决定,也影响了平台的健康发展。
(“虎影”暗刷木马链接直播画面)
依托360安全大脑的超前感知、智能追踪和深度溯源能力,360安全卫士将持续追踪包括劫持流量在内的各类木马,担心感染“虎影”暗刷木马的用户,则可以使用360安全卫士查杀,清除“虎影”暗刷木马。鉴于“虎影”木马带来的安全威胁,360安全大脑给出如下建议:
1、及时前往weishi.360.cn,下载安装360安全卫士,能强力查杀此类病毒木马;
2、对于安全软件提示风险的程序,不要轻易添加信任或退出杀软运行;
3、避免下载、运行不明来源的文件,以防中招;
4、使用360软件管家,下载安装经360安全大脑安全检测的正版软件;