|
|
360制 毒丑 闻再出新细节:久如公司浮出水面
, D- h9 H8 B* z* \
) S/ Z5 Y7 G0 }( ?) @1 T7 ]最近,“WireLurker(MacHook)”木马令奇虎 360 再次深陷舆 论质疑,众人皆曰其“制毒杀毒”,甚至有人指控这是“安全行业潜规则”。
% ?+ l; W/ u1 O" M- h' u
* `' m o- |) q以本人认知,所谓“行业潜规则”的说法纯属恶意揣测,毫无根据,但奇虎 360 是否“制毒杀毒”,本人尚不确定,但对此持“强烈怀疑”立场。
! d/ o9 U, f: W
( q- D* [0 ]1 s2 W事实上,安全公 司是否“制毒杀毒”,是一个不可证明、也不可证伪的命题。一旦事发并被公开,如果是奇虎 360 员工做的,开除员工;如果是奇虎 360 旗下公 司做的,报警、撤资。总之,归责于个人或外人、与“奇虎 360”没关系,这是很合理的应对之道,无论真 相如何。
- N9 o$ L9 l, T% T# I " y& P" x2 x7 s2 t. A
这次轮到“麦芽地”,奇虎 360 投资的一家微型公 司,其前身是个人网站“麦克孤独”,被曝是“WireLurker(MacHook)”木马制 作者和传播者,奇虎 360 果断报警抓人,撇清关系。对此,本人表示理解。2 `; q& C0 a) ^7 Z# ]
. i$ f \+ B8 f% ]( Q1 e本人不理解地是,11月13日,奇虎 360 官方微博所发声明,闭口不提其与“麦芽地”的投资关系,也不提“WireLurker(MacHook)”制 作者是谁(以其技术能力,反向分析出制 作者易如反掌),可能给外界以非常心虚的印象,其报警抓人之义举不可避免被诟病为“断尾求生”。, {! J) S+ n; ^. \. w
' Q! j/ o% p- C9 t" h Z
直到今天,11月18日,奇虎 360 才公开承认其与“麦芽地”的投资关系,并宣布撤资、追责。- K8 S* }9 o: b3 ]* x4 l3 r0 a; U
6 n/ U' y1 q6 p9 @& I$ \& B2 U+ k
早干嘛去了?
( i/ q) Q( h- J6 S+ @
& d. l7 V7 O* W0 N# I好了,你们找百度上法 院掐架去吧,本人搬板凳看热闹,在这里先给大家曝个料——
6 }6 J( v, b: b
" S3 h- A; y/ O" Q; q5 z, e奇虎 360 投资企业中,制毒者不少,仅北 京地区就至少有两家(其它的以后再曝,大家稍安勿躁),一家是大家已经知道的“麦芽地”,另一家是大家还不知道的“久如”。
7 _5 G; v/ U0 C6 N& ~& E
# S! m' L7 N5 ]: p! Q% Q- S来,俩难兄难弟先拍张合影:
/ F& S: Q- ~+ J. [ $ M. A1 i% J) H3 H. @+ N5 A/ P9 w
http://image16.poco.cn/mypoco/myphoto/20141120/12/66182034201411201257081224281031335_001.jpg6 M: u" ^' ~" v, v7 |) V- G
8 F9 C+ J; Y; }0 E0 {
上月中旬新闻报道安卓平台上向第三方软件窗口暗推 广告和强推软件的“推荐密贼”木马,就是“久如”出品。当时法 院官方微博和新闻稿均未明确指出当事人身份,只有两个字——“李某”(如下图)。
, O$ a, [7 `2 ]8 O0 K 8 Q! u# @0 T5 |, P' b% q) X
http://image16.poco.cn/mypoco/myphoto/20141120/12/66182034201411201257081224281031335_000.jpg7 r( h% k3 @! n- k& Y0 C
" v9 y: L! P' P! @
李某何许人也?据知情人 士透露(该案宣判旁听者),李某就是北 京久如技术有限公 司法人代 表李江涛。不查不知道,一查吓一跳——“久如”投资人也是奇虎 360(如上图,信息来自北 京市工 商 局)。
, N! k- _ n& ^9 T
9 h' Y# N' B) A# Q本人特别注意到,迄今为止,一个月过去了,@周鸿祎、@360安全卫士、@360手 机卫士 对于“推荐密贼”木马只字未提,与其在“WireLurker(MacHook)”木马事 件曝光后高调宣称“率先查杀”并报警抓人的态度判若两人。5 O) ]; |' H; ]& c; I
, j& a1 t) l% p4 h5 P; i, ~+ p( m
看来,曝光还是有利于奇虎 360 成长和进步的。! w! A, r; Q2 v4 ]" Q
7 h, u$ R* {% A
本人很是好奇,为什么近年作 恶涉案的互 联 网公 司,“麦芽地”(判 刑和罚金)、“久如”(刑 拘待查)等恶意制毒,“太极助手”推盗版损设备(逃过法 律制裁),“快 播”贩黄兼耍流 氓(逮 捕待审),……几乎都与奇虎 360 有关?谁能给出答 案?回忆起当年的十大流 氓软件之首“3721”、以更新 Windows 之名静默安装 360 浏览器,……画面太炫,本人不敢看……他们其实真的蛮拼的。4 b: j9 I% W; x2 E" A) R5 J. \
# ^6 _+ N# @7 ^4 r% H+ Z' ?故事讲完了,不想动脑筋的,可以散了,爱琢磨事的,继续往下看。- e- p# d6 `: I( {
4 Q4 b+ a. j0 O/ r3 Y0 l5 F9 J2 K+ N; t--------------------------------------------------
1 ~9 v# ]! A, D* d6 h" @" Q# x
0 G8 G0 U& y* ?. ^8 d- E回到正题,列举中 国互 联 网违法犯罪集 团的几个典型案例,为他们立档。% X0 E0 E' W6 J6 h9 W. r- m7 i9 J1 U
* T! v) k0 n5 Q- j; R6 {' ~特别声明:
; F4 k0 e1 O1 V$ \$ }. c$ W" r: x1、不必讳言,称其为“集 团”的唯一理由是,他们都是奇虎360或其董事长周鸿祎投资的企业;
3 @5 ~; L. f8 v; i3 z; Q( P3 R2、截至目前,本人没有任何直接证据证明奇虎360或其董事长周鸿祎曾指使其旗下企业实施违法犯罪行为。! ?' N" g) e2 s
$ r* X r) B9 R/ F7 C
一、“WireLurker(MacHook)”木马
: L, ^! E( \% A% b, Q / G( [) J! Y$ F; o8 U5 }' `. r
制 造者:北 京麦芽地信息技术有限公 司7 O$ o0 \8 Y* H {- u) c* ?8 v
传播平台:麦芽地苹果论坛、百度云盘等) v T# `6 j" O
投资者:奇虎360(天使投资)8 u& O1 V0 n% {6 h5 Z5 \( X
3 c! m7 \1 T$ z. Y& w手段与危害:
6 B4 M$ v, b1 c1、提 供 OS X 和 Windows 平台下的 iOS 应用安装器,通 过 USв 数据线连接 iPhone、iPad 等用户移动设备,下 载并利 用企业部署机制安装应用;2 G8 O/ e, h! N% Z9 @8 g% l
2、向来自苹果 app store 的合法应用加入恶意代码、剔除版权信息等,重新打包,利 用更新机制对企业部署的信任,替换用户从苹果 app store 下 载和安装的合法应用(对内置应用无影响),实现病毒式感染,控 制用户设备;
/ {) q( t: q* x3、提 供下 载链接或二维码,诱导用户直接下 载并利 用企业部署机制安装应用;' D, x) T9 S) t0 O
4、窃取用户移动设备上的个人信息,包括设备型号和编号、手 机号码、联 系人、已安装应用列表等。
s+ O4 K) Z! f, l9 S2 F, S- e
4 v! O+ F; C/ h所谓企业部署机制,是苹果提 供给企业开发团队的特 权,无需通 过 app store 审核即可安装,更新时也仅校验应用标识是否一致,以便于企业快速发布或更新内部应用(in-house app),用户应仅信任其所在工作单位提 供的此类应用,否则后果无法预期。8 n* i' T4 A8 q& y/ z
: e+ q+ y% `. B" @7 b( y
本质上讲,“WireLurker”并非利 用苹果设备安全漏洞,而是利 用用户占便宜心态或粗心大意等人性弱点。+ i: u: A, W* D/ H
3 _* v: Z$ R0 L, Y& S# g半年多来,受害规模已达40万 人次,非法牟取软件推 广费(规模不详,待司法调 查)。7 K' H0 e5 D( M6 C0 ~
; f$ X7 b. ~! u |* G) H该木马始于今年3月,最早6 月被网友报告相关异常但未引起重视,最早7月被网友初步分析,11月被深入分析并正式报告。) m9 b& X. x! Z S
2 v% D) d: z/ y1 L根据公 安局提 供的信息,目前陈某、李某、王某已被刑事拘 留,他们将面 临法 律的严厉制裁。% g/ M, G( @- X% i
其中,陈某可能就是陈鹏,李某可能就是李磊或lifei,王某可能就是王 剑,不清楚被 拘 留的为何没有段某。/ z' g7 \9 T) d+ s* C
6 i- [, l! V$ V- n相关事实:
/ P2 N# O/ s* B) o麦芽地法人代 表陈鹏每月亲自向奇虎360提交财务报表。
1 _) R+ b( |+ ~4 U: }3 o开发团队成员:段冶、李磊、lifei等(不排除使用化名)。其中段冶个人信息被网友曝光后,北 京盛峰律师事务所(“3Q大战”奇虎 360 的诉 讼代 理机 构)向有关论坛发律师函要求删除,律师函抄送给麦芽地法人代 表陈鹏,显示陈鹏或麦芽地就是发函委托方,不打自招。+ ~. a4 J! X) _6 {% J
获取木马更新链接:“ app.maiyadi.com/app/getversion.php”,上传用户个人信息链接:“ app.maiyadi.com/app/sАVeinfo.php”,后来服 务器域名更改为“comeinbaby.com”,但路径相同。
' |& N+ X1 Q8 ?木马程序安装器标识:com.maiyadi.installer,版权信息:com.maiyadi,使用“YK3M5NA37D”的数字证 书(企业开发团队ID:“YK3M5NA37D”,开发团队名称:“li fei”,不确定其以哪个企业名义或是否以虚假企业信息申请,目前相关数字证 书已被苹果吊销)。# ]# t* W2 m5 v9 \; X3 E2 Q7 M* A
木马程序核心文件多处发现“E:\lifei\...”、“/Users/lifei/...”等由 Windows 开发环境 Visual Studio 和 OS X 开发环境 Xcode 在编译时自动生成的中间信息,显示木马开发者与安装器开发团队重叠。6 H$ \# C, X2 }0 q/ }
- x) f0 B% D, g2 q# o- p
二、“推荐密贼”木马' j2 r- F' m3 `* H1 u- b! q
5 _7 _9 j" t3 p制 造者:北 京久如技术有限公 司8 ]* {5 h( }4 }- ?
传播平台:“木马蚁”等应用商店! I" f& L: E+ G: f
投资者:奇虎360(数十万 人 民币投资,360占全部现金股份,其它为相关个人技术股)5 G6 u! N* j' X( P2 B
! N2 ?9 P) T/ J7 K; i% }0 q V, X; @
手段与危害:
: z$ Q( [! M( q, X# \1、向“木马蚁”等应用商店提交非法植入恶意代码的第三方安卓应用供用户下 载和安装,超过300款应用,其中包括微信、微博、百度等超级应用;1 e( r: s. G6 U! O2 j9 `2 ?: q
2、植入的恶意代码实时监控用户手 机中的程序运行状态,伺机向其顶层窗口发布横 幅广告或弹窗广告(均来自“易积分”),或强 制用户下 载其提 供的各种游戏或软件以换取“积分”、得到15天的无广告时间;
/ t5 Z2 q# e" C2 c# O' L# z$ i( z/ q3、过程受云端控 制(服 务器域名 kuaidian360.com)。2 [7 g6 Y$ _& K4 ~! }5 Y2 A
' B4 ^( M& `5 [% t$ _
2013年2月到7月,半年期间,感染至少20多万台手 机,非法牟取广告费。
6 V1 L! p& h- E& ?
, Q& [1 P) g4 Z+ b/ A久如公 司法人代 表李江涛被 判处有期徒刑三年、罚金31000,久如公 司工程师孙轩被 判处有期徒刑一年半、罚金6000。没收全部非法所得,上缴国库。: `) l; \/ l" p6 Q
! U; Y1 I) i5 u/ Y3 X三、越狱捆绑“太极助手”推盗版损设备- O3 c* f: n( O, G: Y: a' D
% u7 t6 a3 V7 F9 r! ?5 w# W6 ~- w# U
制 造者:北 京悠然天地科技有限公 司
4 R1 w; [% b, j' K$ q; b, Z传播平台:国外某越狱工具
1 B- C4 d- O! D3 B) z投资者:奇虎360(A轮战略投资,部分资金来自周鸿祎个人)
. t# \% u9 j* o. n 9 ]/ N V( r% F. W j; b6 b
手段与危害:$ T" k8 x& C$ G$ U
1、赞助国外某越狱团队,换取捆绑“太极助手”(苹果应用分发平台);: }* D; x& R! g! x z) Z! g* \1 \! q
2、大量苹果手 机出现卡顿、黑屏甚至变成砖头(白苹果);
+ x8 ^( _9 R- V# e \3、“太极助手”向其用户提 供大量盗版应用,被越狱团队远程禁用(公开表示“不能容忍”)。
* t5 O+ R+ W9 i L5 |) d 8 O# c8 d. H6 M( w n: L2 _3 Z
部分信息参考资料:% V, w( C1 m2 e2 {0 ^5 L
itjuzi.com/company/2809+ w# t0 ]! P2 S; N1 K
article.pcho me.net/content-1685200.html8 }1 o9 Z. |# M% S. q% C* J4 f
# ^7 X! `- r: J! c( |3 o* c& P四、流 氓播放器“快 播”
$ ~& S0 Z% E* t N' k / P( a' X, y+ E' [. u3 }
制 造者:深圳快 播科技有限公 司8 H( o* O O0 W+ [" r$ X
传播平台:快 播及其合作平台
! F# A0 Y+ N" c$ W" O投资者:奇虎360董事长周鸿祎(数百万 人 民币天使投资)
6 e5 c3 [( j( P$ @0 L) e! d4 d 6 \7 M4 D' s O. R& N5 w. A
手段与危害:2 \+ {" K' Q$ Q e( \0 X
1、捆绑和静默安装第三方软件和浏览器插件、篡改用户浏览器主页和默认搜索引擎等;
3 K% {4 L5 O* U) h* u4 F0 L0 E! e2、盗版电影电视剧,被国 家版权局罚款25万,被深圳市场监 管 局罚款2.6亿;, v8 [& M0 H) Q% V" p3 X" w
3、传播淫 秽视 频,被吊销经营许可证,直至关闭停运、法人代 表王欣被逮 捕。* \& t7 E3 W4 F6 J9 q0 ]
' \' l; B! T$ N) ~9 K+ T F
相关事实:
' [1 m2 V e ?% U. t, ~360安全浏览器曾内置快 播。# [3 t$ x R, G- j* l3 d
王欣名言:“如果我变成流 氓,请告诉别人我曾纯真过。”
8 q4 J$ U) E; d 1 N O4 c/ m2 i# c7 ~; H
部分信息参考资料:
% L" X) n7 D# t( H, W! R# witjuzi.com/company/3999 |
|
IP卡
狗仔卡
发表于 2014-11-20 13:58
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡