真“李逵”假“李鬼”——這7款“知名軟體”居然劫持了50多個站點!
最近不少企業發現自己的logo被某“萬物之源”素材網站打上了“版權所有”的烙印,還宣告使用就要付費。為這事,各大官微紛紛走下高冷神壇,把自己活成了高仿,可著實引發了一個超大型“維權事故”:
“沒有收錄我的LOGO,是不是看不起我?”
“是我貪玩藍月不配擁有姓名嗎?
”
“我們家老周變成了你們的?
”
這個由黑洞照片引發的版權大瓜提醒了我們:當下,版權保護已經成為共識,問題在於,“著作權”是否真的成立?平臺有沒有淨化版權池?商業模式是否經得起推敲?避免版權保護陷入“黑洞”,與提倡版權付費一樣重要。
這不,不少網友就在購買“正版軟體”時遇到了一個大坑......
真“李逵”假“李鬼”
為斂財可謂“用心良苦”
事情的起源是我們接到的一個網友反饋,說電腦的hosts檔案被篡改,遮蔽了大量軟體站點,導致很多正常網站訪問異常。經排查,竟是一款清理軟體導致的。
照理說這款清理軟體也算業界知名產品,怎麼會做出修改hosts檔案劫持使用者網路的事情呢?難道說下載到的是款山寨貨?檢視一下軟體簽名——還真的就不是正品……
要知道通常我們要安裝一個軟體時,安裝包會在%ProgramFiles%目錄下建立一個軟體自己的資料夾,並將檔案釋放到裡面。然而經測試,這個安裝包在被執行後,會在%ProgramFiles%目錄下建立兩個目錄——如同是一次安裝了兩款軟體。
而這兩個目錄中,前者是原本的正常軟體“李逵”,而後者則是安裝包廠商自己寫的一個“李鬼”程式。同時,安裝包還會向桌面釋放一個快捷方式——而這個快捷方式檔案所指向的,便是那個“李鬼”程式。“李鬼”首次啟動,會先開啟瀏覽器並跳轉到他們自己搭建的軟體購買頁面,向用戶兜售軟體。
而更神奇的操作還在後面,“李鬼”彈出了“購買頁面”後,居然又線上獲取了一份配置檔案!
網路資料經解析和簡單格式化後,會得到一份json格式字串:
其中AddHostList中的內容,需要再次進行解密。下圖是其中一項字串的解密結果:
程式對json字串完成解析和解密後,會將內容寫入為hosts檔案,並替換系統現有的hosts檔案。以此實現網路劫持。
被修改後的hosts檔案如下:
在完成這些修改後,“李鬼”程式才會真正的去啟動“李逵”程式,讓使用者開始使用軟體。僅此一例樣本,就對46個域名進行了劫持!被遮蔽的站點不僅有軟體官網,還有大量下載站,IT資訊站等,作者可謂“用心良苦”!
不過廣大使用者可不必擔心,360安全大腦已針對該類下載站點進行了攔截,建議廣大使用者及時下載安裝360安全衛士,保護個人隱私以及財產安全!
多款知名軟體被篡改
超50家站點遭劫持
拔出蘿蔔帶出泥,不查不知道,一查嚇一跳!經360安全大腦分析發現,從去年年底開始,已經有超過7款知名軟體被篡改,超過50家站點被劫持!
其偽造的所謂“中文官網”(部分)如下:
ccleaner.cc
goldwave.cc
goldwave.cn
ultraedit.cc
axurechina.cc
cubase.cc
camtasiastudio.cn
除上述專門為了偽造官網而註冊的域名外,還有三個域名通過提供二級域名為任何需要展示的頁面提供平臺:87box.com、weikaiang7.cn、wangujiadian2.cn
這家公司出品的軟體也並不止這一款,使用的劫持列表更是各有不同,比如我們測試的另外一款被二次打包的知名軟體goldwave,其劫持列表是下面27個:
除了劫持站點外,“李鬼”程式們還會篡改軟體原來的介面,授權頁面,幫助文件等,將所有購買的渠道全部轉到自己搭建的銷售網站中。下圖就是其篡改goldwave主介面的程式碼截圖:
下圖中左側為未經修改的幫助文件內容,而右側則是被“李鬼”劫持篡改後所顯示的文件內容。顯然右側內容完全被改變了,同時在頁面中央位置有一個非常醒目的“Buy Now”按鈕。
而點選按鈕後,則會開啟瀏覽器,並跳轉到其自己搭建的購買頁面。
退一萬步來講,不管這些公司所銷售的軟體是否全部取得了軟體版權方的合法授權,使用者付了款後是否真的能使用上合法的正版軟體,單說這種使用病毒式手段來劫持和強迫使用者進行購買消費的售賣行為,就是不可取的,更是不合法的。
衛士君在此提醒各位,購買軟體時一定要確認購買渠道是否為官方,若為第三方,要確認第三方平臺是否擁有合法的代理銷售資質,下載軟體更要選擇官網或其他正規渠道,同時避免接收和執行不明來源的檔案,以防中招,同時建議大家:
1. 使用360軟體管家下載軟體。360軟體管家收錄萬款正版軟體,經過360安全大腦白名單檢測,下載、安裝、升級,更安全;
2. 安裝360安全衛士(下載地址:weishi.360.cn),及時攔截查殺病毒木馬;
3. 開啟360安全衛士“網頁安全防護”功能,辨別各類虛假詐騙網頁,攔截釣魚網站、危險連結,保障計算機資訊保安。
IOCs
MD5s:
3fce11527a5f46890ad74b90fafc9233
873a774692b9401bc8db6a140878403f
83dc0d0276cd9ee87ed856d101b2b8b7
a76089bca48836da8fdbf54e3a865219
5e3c2469bb72243812aa99df9664f4b3
363b94be3252015ad77ca1775d21629b
349e43dfc2fc5f970521aa0893244dd6
Hosts& IPs
ruanjian88.com
87box.com
i77.in
ihappysoft.com
182.61.167.113
182.61.162.176
URLs
hxxp://goldwave.ruanjian88.com/
hxxp://ccleaner.ruanjian88.com/
hxxp://axure.ruanjian88.com/
hxxp://cubase.ruanjian88.com/
hxxp://camtasia.ruanjian88.com/
hxxp://xiazai.ruanjian88.com/newud/camtasia_newud.exe
hxxp://xiazai.ruanjian88.com/newud/axurerp8_newud.exe
hxxp://xiazai.ruanjian88.com/newud/cubase5_newud.exe
hxxp://xiazai.ruanjian88.com/newud/goldwave_newud.exe
hxxp://xiazai.ruanjian88.com/newud/ccleaner_newud.exe
hxxp://xiazai.ruanjian88.com/newud/ultraedit_newud.exe