360制 毒丑 闻再出新细节：久如公司浮出水面

呀忽黑

360制 毒丑 闻再出新细节：久如公司浮出水面

0 A2 r5 W, \( F  @% J8 A最近，“WireLurker(MacHook)”木马令奇虎 360 再次深陷舆 论质疑，众人皆曰其“制毒杀毒”，甚至有人指控这是“安全行业潜规则”。
% ]( G- x  ^: j6 Q
$ _6 a- [. R+ l3 v3 H以本人认知，所谓“行业潜规则”的说法纯属恶意揣测，毫无根据，但奇虎 360 是否“制毒杀毒”，本人尚不确定，但对此持“强烈怀疑”立场。

事实上，安全公 司是否“制毒杀毒”，是一个不可证明、也不可证伪的命题。一旦事发并被公开，如果是奇虎 360 员工做的，开除员工；如果是奇虎 360 旗下公 司做的，报警、撤资。总之，归责于个人或外人、与“奇虎 360”没关系，这是很合理的应对之道，无论真 相如何。

' ~4 y& f& f# v: {$ A0 U6 g. \这次轮到“麦芽地”，奇虎 360 投资的一家微型公 司，其前身是个人网站“麦克孤独”，被曝是“WireLurker(MacHook)”木马制 作者和传播者，奇虎 360 果断报警抓人，撇清关系。对此，本人表示理解。

* `& V( R8 R# U6 c! C& U. r9 f本人不理解地是，11月13日，奇虎 360 官方微博所发声明，闭口不提其与“麦芽地”的投资关系，也不提“WireLurker(MacHook)”制 作者是谁（以其技术能力，反向分析出制 作者易如反掌），可能给外界以非常心虚的印象，其报警抓人之义举不可避免被诟病为“断尾求生”。

直到今天，11月18日，奇虎 360 才公开承认其与“麦芽地”的投资关系，并宣布撤资、追责。

  Z( w- X; Z: b0 B5 N$ ]早干嘛去了？

; C" u3 {& O3 T" z. @) V好了，你们找百度上法 院掐架去吧，本人搬板凳看热闹，在这里先给大家曝个料——
$ u/ Y6 ^3 z5 `  v. L$ W& v
奇虎 360 投资企业中，制毒者不少，仅北 京地区就至少有两家（其它的以后再曝，大家稍安勿躁），一家是大家已经知道的“麦芽地”，另一家是大家还不知道的“久如”。

& I4 B; e% Y( l$ Y2 |来，俩难兄难弟先拍张合影：

6 Q- E2 U8 j& ~: @& \http://image16.poco.cn/mypoco/myphoto/20141120/12/66182034201411201257081224281031335_001.jpg
4 g; m- p. E! z% S# h/ q
1 U" k/ L+ F8 I7 x; D5 Q- L上月中旬新闻报道安卓平台上向第三方软件窗口暗推 广告和强推软件的“推荐密贼”木马，就是“久如”出品。当时法 院官方微博和新闻稿均未明确指出当事人身份，只有两个字——“李某”（如下图）。
  
http://image16.poco.cn/mypoco/myphoto/20141120/12/66182034201411201257081224281031335_000.jpg
/ \* @* [6 L4 p* d
李某何许人也？据知情人 士透露（该案宣判旁听者），李某就是北 京久如技术有限公 司法人代 表李江涛。不查不知道，一查吓一跳——“久如”投资人也是奇虎 360（如上图，信息来自北 京市工 商 局）。

本人特别注意到，迄今为止，一个月过去了，@周鸿祎、@360安全卫士、@360手 机卫士 对于“推荐密贼”木马只字未提，与其在“WireLurker(MacHook)”木马事 件曝光后高调宣称“率先查杀”并报警抓人的态度判若两人。

$ c4 x0 U8 M3 Y2 e2 C: h  F$ A看来，曝光还是有利于奇虎 360 成长和进步的。
$ I/ U0 h; S, v/ `$ E
本人很是好奇，为什么近年作 恶涉案的互 联 网公 司，“麦芽地”（判 刑和罚金）、“久如”（刑 拘待查）等恶意制毒，“太极助手”推盗版损设备（逃过法 律制裁），“快 播”贩黄兼耍流 氓（逮 捕待审），……几乎都与奇虎 360 有关？谁能给出答 案？回忆起当年的十大流 氓软件之首“3721”、以更新 Windows 之名静默安装 360 浏览器，……画面太炫，本人不敢看……他们其实真的蛮拼的。

故事讲完了，不想动脑筋的，可以散了，爱琢磨事的，继续往下看。
/ [4 r$ v# q/ D/ h9 D/ N
3 V( K( i' A8 ]4 A0 X--------------------------------------------------
8 E0 {8 V- j) T+ ^3 C. c! Z! q+ u
3 A" X: n  e; A6 z2 E回到正题，列举中 国互 联 网违法犯罪集 团的几个典型案例，为他们立档。

' |+ x8 Y* v& x8 d. z7 |特别声明：
( Q1 t* [+ n& @# i7 J$ v2 D8 Y1、不必讳言，称其为“集 团”的唯一理由是，他们都是奇虎360或其董事长周鸿祎投资的企业；
2、截至目前，本人没有任何直接证据证明奇虎360或其董事长周鸿祎曾指使其旗下企业实施违法犯罪行为。
, }  e; }2 S1 [  k* O5 s& j8 P. N
9 k4 }. z0 G* V& f0 b一、“WireLurker(MacHook)”木马
+ H2 b! W' n8 W8 E1 L  j& n
制 造者：北 京麦芽地信息技术有限公 司
; C/ u' b7 u  P9 n9 U$ h传播平台：麦芽地苹果论坛、百度云盘等
" i4 O1 n1 O' S$ |投资者：奇虎360（天使投资）

( n* B  w% ?# E3 ?手段与危害：
  v) d/ j5 d& _/ e) B2 v: Q" {' a1、提 供 OS X 和 Windows 平台下的 iOS 应用安装器，通 过 USв 数据线连接 iPhone、iPad 等用户移动设备，下 载并利 用企业部署机制安装应用；
* p# G/ ^( p1 k3 q! p, k2、向来自苹果 app store 的合法应用加入恶意代码、剔除版权信息等，重新打包，利 用更新机制对企业部署的信任，替换用户从苹果 app store 下 载和安装的合法应用（对内置应用无影响），实现病毒式感染，控 制用户设备；
1 ~: h& [! U  f2 N0 h3、提 供下 载链接或二维码，诱导用户直接下 载并利 用企业部署机制安装应用；
. e' b6 v8 T" ]; I3 T4、窃取用户移动设备上的个人信息，包括设备型号和编号、手 机号码、联 系人、已安装应用列表等。
2 X7 V, q2 ?4 V4 W, L
所谓企业部署机制，是苹果提 供给企业开发团队的特 权，无需通 过 app store 审核即可安装，更新时也仅校验应用标识是否一致，以便于企业快速发布或更新内部应用（in-house app），用户应仅信任其所在工作单位提 供的此类应用，否则后果无法预期。

本质上讲，“WireLurker”并非利 用苹果设备安全漏洞，而是利 用用户占便宜心态或粗心大意等人性弱点。
0 K: s6 \& a2 E! H
半年多来，受害规模已达40万 人次，非法牟取软件推 广费（规模不详，待司法调 查）。
2 F3 w/ I0 r4 `2 t% E$ R- D
该木马始于今年3月，最早6 月被网友报告相关异常但未引起重视，最早7月被网友初步分析，11月被深入分析并正式报告。
8 k3 \' B# ~' \6 j7 `/ ~
& r. K9 J3 |: t! U根据公 安局提 供的信息，目前陈某、李某、王某已被刑事拘 留，他们将面 临法 律的严厉制裁。
其中，陈某可能就是陈鹏，李某可能就是李磊或lifei，王某可能就是王 剑，不清楚被 拘 留的为何没有段某。

相关事实：
麦芽地法人代 表陈鹏每月亲自向奇虎360提交财务报表。
2 ~+ y/ J6 g6 q0 O开发团队成员：段冶、李磊、lifei等（不排除使用化名）。其中段冶个人信息被网友曝光后，北 京盛峰律师事务所（“3Q大战”奇虎 360 的诉 讼代 理机 构）向有关论坛发律师函要求删除，律师函抄送给麦芽地法人代 表陈鹏，显示陈鹏或麦芽地就是发函委托方，不打自招。
* Z/ d3 c& S' O; n获取木马更新链接：“ app.maiyadi.com/app/getversion.php”，上传用户个人信息链接：“ app.maiyadi.com/app/sАVeinfo.php”，后来服 务器域名更改为“comeinbaby.com”，但路径相同。
; N& q9 P6 Q0 t& l) w( n木马程序安装器标识：com.maiyadi.installer，版权信息：com.maiyadi，使用“YK3M5NA37D”的数字证 书（企业开发团队ID：“YK3M5NA37D”，开发团队名称：“li fei”，不确定其以哪个企业名义或是否以虚假企业信息申请，目前相关数字证 书已被苹果吊销）。
- F3 R8 J/ J- s. |8 U木马程序核心文件多处发现“E:\lifei\...”、“/Users/lifei/...”等由 Windows 开发环境 Visual Studio 和 OS X 开发环境 Xcode 在编译时自动生成的中间信息，显示木马开发者与安装器开发团队重叠。

二、“推荐密贼”木马

, Z+ s6 k% k7 M4 o& `制 造者：北 京久如技术有限公 司
传播平台：“木马蚁”等应用商店
. a' H  r/ o+ M. Q6 b投资者：奇虎360（数十万 人 民币投资，360占全部现金股份，其它为相关个人技术股）
. \/ I6 y/ g- I2 {; w5 i5 Z! i/ n
9 r* _! H/ h* |5 \- B7 Z手段与危害：
1、向“木马蚁”等应用商店提交非法植入恶意代码的第三方安卓应用供用户下 载和安装，超过300款应用，其中包括微信、微博、百度等超级应用；
& Y; V: K9 x( E& u2、植入的恶意代码实时监控用户手 机中的程序运行状态，伺机向其顶层窗口发布横 幅广告或弹窗广告（均来自“易积分”），或强 制用户下 载其提 供的各种游戏或软件以换取“积分”、得到15天的无广告时间；
2 |8 [* z* i; l/ Z* w3、过程受云端控 制（服 务器域名 kuaidian360.com）。

% o, }$ n  K4 R5 u" }) M2013年2月到7月，半年期间，感染至少20多万台手 机，非法牟取广告费。
) s7 K- b; e! h' |! E) ]  |% j5 e& u
5 N; [7 W4 K- u: P; V; S久如公 司法人代 表李江涛被 判处有期徒刑三年、罚金31000，久如公 司工程师孙轩被 判处有期徒刑一年半、罚金6000。没收全部非法所得，上缴国库。
6 b' k; g6 L; g1 p, y7 s- G
三、越狱捆绑“太极助手”推盗版损设备

制 造者：北 京悠然天地科技有限公 司
1 a: p9 |; R- K2 Q传播平台：国外某越狱工具
( c! Q7 j$ F$ }投资者：奇虎360（A轮战略投资，部分资金来自周鸿祎个人）
' J( v. m& W# G( M
% i6 B7 \! `. _9 {7 _手段与危害：
1、赞助国外某越狱团队，换取捆绑“太极助手”（苹果应用分发平台）；
2、大量苹果手 机出现卡顿、黑屏甚至变成砖头（白苹果）；
0 ~, L1 j; c3 y2 U3 A% G3、“太极助手”向其用户提 供大量盗版应用，被越狱团队远程禁用（公开表示“不能容忍”）。

部分信息参考资料：
itjuzi.com/company/2809
) {0 i+ N* J3 \3 ?7 f% ~9 p1 j5 ?% ^article.pcho me.net/content-1685200.html

, T8 s, i# c' k. J( Q4 n四、流 氓播放器“快 播”

- ]7 \7 Y0 F' t4 ^; W) K$ O* w% M制 造者：深圳快 播科技有限公 司
' {: g& ]2 Y/ v传播平台：快 播及其合作平台
* g/ T2 ~! j+ g1 r8 `+ j* }2 V' _2 o投资者：奇虎360董事长周鸿祎（数百万 人 民币天使投资）
) g: O1 j2 h. \* L( R
手段与危害：
/ X% S2 D3 d3 w9 s: n1、捆绑和静默安装第三方软件和浏览器插件、篡改用户浏览器主页和默认搜索引擎等；
: X) r) Q+ b) T1 p! I2、盗版电影电视剧，被国 家版权局罚款25万，被深圳市场监 管 局罚款2.6亿；
3、传播淫 秽视 频，被吊销经营许可证，直至关闭停运、法人代 表王欣被逮 捕。
1 M- {0 r* r: A& Q/ f  T* N" w
  P9 I) r2 w8 b6 F' E2 O0 i/ j相关事实：
1 R/ H0 u% a( {360安全浏览器曾内置快 播。
5 M# }( Y1 _) `5 z8 U7 Q9 N2 _王欣名言：“如果我变成流 氓，请告诉别人我曾纯真过。”

% V# ~; f' E& G部分信息参考资料：
  j' D3 v( S1 \  B' @itjuzi.com/company/3999