当前位置:首页 > 新闻资讯 > IT业界 > 新闻
内部员工私自造毒? 迅雷“病毒插件”始末
  • 2013-8-23 16:07:17
  • 类型:原创
  • 来源:电脑报
  • 报纸编辑:黄旭
  • 作者:
【电脑报在线】今年8月初以来,一条关于迅雷客户端制造并传播病毒的传闻在业内流传。更有匿名信消息源以邮件形式向媒体爆料称,一项内置恶意程序已通过安装量达数亿的“迅雷客户端”扩散近两个月,已有超过2800万用户中招。

    今年8月初以来,一条关于迅雷客户端制造并传播病毒的传闻在业内流传。更有匿名信消息源以邮件形式向媒体爆料称,一项内置恶意程序已通过安装量达数亿的“迅雷客户端”扩散近两个月,已有超过2800万用户中招。


    8月21日迅雷在深圳召开发布会,对传闻进行了官方回复。迅雷公司高级副总裁黄芃表示,公司在收到用户反馈后组织排查,结果发现,是集团子公司迅雷看看一位部门经理,避开公司正常流程,私下指示技术人员,擅自动用子公司资源并冒用迅雷数字签名,制造了带有恶意程序的插件。迅雷已经对此事件进行了处理:立即开除事件主要负责人,同时,对上级负责人给予记过、警告以及罚款等处罚。

    然而,“病毒插件”风波也让迅雷蒙上了“造毒”阴影。


迅雷造毒?

    8月16日,一条关于迅雷客户端制造并传播病毒的消息在行业媒体间传开,据称,一项内置恶意程序已通过安装量达数亿的“迅雷客户端”扩散近两个月,已有超过2800万用户中招,而迅雷高层在利益驱使下对此行为给予了默许。该消息一经网络传播以后,在业界引起轩然大波,并陆续有网友在论坛内发帖进行质疑和调查。

    实际上,自6月下旬已有用户不断反馈电脑存在异常,发现一个位于C:\Windows\System32目录下,名为“INPEnhSvc.exe”带有迅雷数字签名的文件,经专业技术人士分析INPEnhSvc.exe的7个版本,被证实内置后门,并且使用类似云指令的技术来强制后台干扰和修改用户电脑。

    此外有科技博客发表文章表示,迅雷制造并传毒的背后是利益驱使,高层方面则对此行为给予了默许。在8月1日某网站一篇名为《迅雷惊现“掘雷者”高层包庇共谋私利》(目前文章链接已失效)的文章中提供了6封来自“迅雷各大高管以及迅雷看看高管”的内部邮件,表述“此次事故来自迅雷看看业绩压力所为,初衷是为了推广公司的无线产品”“无奈之下才破例采取插件推送的形式进行换量操作”“通过帮他们推广手机端应用,他们来帮我们推广无线看看,达到换量的目的”。


迅雷回应:内部员工的个人行为

    8月21日,迅雷打破此前的沉默在深圳召开了一个小型的发布会对传闻进行了官方回复。根据迅雷官方的说法,在迅雷接7月27日接到网友关于“INPEnhSvc.exe”的反馈以后,公司技术人员迅速从用户机器上将此文件取回,逆向分析发现该文件有流氓行为:其在满足某些条件时,会在用户不知情的情况下,该程序会后台下载并自动安装APK到连接至当前计算机的手机上,这些APK为“九游棋牌大厅”、“91手机助手”、“360手机助手”、“UU网络电话”、“机锋应用市场”带来流量。

    据黄芃介绍,公司即刻组织排查,结果发现,是集团子公司——“视频事业部”(即迅雷看看)所属的传媒部门负责人,避开公司正常流程,私下指示技术人员,擅自动用子公司资源并冒用迅雷数字签名,制造了这一带有流氓行为特征的插件。

    发生此事后,公司非常重视,在相关邮件群,技术人员对此事展开了严肃的讨论,大家一致认为,迅雷公司成立10年来,从未发生过类似的事故。这一个人行为,给迅雷公司抹了黑,制造了污点。事发一周内,公司即对此事件进行了处理:立即开除事件主要负责人,同时,对上级负责人给予记过、警告以及罚款等处罚。

    迅雷官方并没有对讨论具体内容进行披露,不过相关邮件内容显示,一名迅雷客户端高管首先做出回应,认为有人在利用职务之便进行商业犯罪,要求彻查此事,而迅雷看看某高管回复称,推送九游棋牌大厅、91手机助手、360手机助手、UU网络电话、机锋应用市场的事情,是经过公司领导审批用于置换对应平台广告位置,来推广无线上的迅雷看看APK。

    据介绍,该插件自6月19日上线,至发现时止,影响了上千万的用户。因为发现后立即做了处置,为以上软件带去流量总数在2万左右。迅雷格外强调的是,这些相关软件厂商并不知晓迅雷该传媒部门负责人的流氓行为。

 

是流氓插件,不是病毒?

带迅雷签名的后门程序

    INPEnhSvc.exe究竟是不是病毒程序?它的存在和运行又会给用户带来哪些影响?在当天的说明会上,360、腾讯电脑管家、金山网络等安全厂商也派出技术代表现场回答记者的提问。他们得出一个共同的结论,其在未经用户许可的情况下连接服务器推广第三方软件,违反了关于保护用户知情权和选择权的基本规定,认为这一插件存在近似流氓特征的行为,但因为它不具有传染性,并不符合病毒的特征。

    然而,也有安全软件厂商表达了不同的看法。“这是一个典型的后门程序,只有病毒才会有,正常的软件是不会的。”瑞星安全专家唐威在接受本报记者采访时表示,InpEnhSvc.exe拥有典型的后门特征,相比于其它后门程序,该病毒侧重于后台应用推广,包括PC应用和手机Android应用,其病毒文件带有正常的数字签名,而该程序最显著的三大功能点就是:后台恶意推广手机应用、常规的远程控制操作和自动更新升级。“任何一个正常的软件程序都不会在没有任何提示的情况下给用户安装其他的软件,这不是一个正规软件应该做的。”

    事实上,包括瑞星、腾讯电脑管家、金山和360等杀毒软件也都已检测到上述恶意程序。腾讯电脑管家技术人员透露,在7月下旬通过用户反馈发现了迅雷的后台推广行为,并通知迅雷公司进行联合处理。

    奇虎360也在官方回复中称,迅雷看看生成的“INPEnhSvc.exe”曾经有过未经提示用户静默推广的,360对迅雷看看该文件的静默推广行为进行了拦截,并通知迅雷公司进行修正。

    对此,黄芃也在发布会上表示,整个事件就是该负责人先对迅雷“耍流氓”,然后再对用户“耍流氓”的行为。

 

背后的质疑

    然而,迅雷官方发出回应之后,引发了众多质疑的声音。不少人认为迅雷的言论和解释是越描越黑。“难道迅雷公司软件的版本发布由一个部门经理说了就算的吗?公司流程都走到哪里去了?”一位不愿具名的互联网公司负责人私下对记者表达了自己的看法。

    互联网知名人士、丁香园技术负责人冯大辉认为,恶意散播计算机病毒已经属于犯罪行为。开开CEO穆荣也质疑:“迅雷方面称,这些应用原本与迅雷集团有流量互换的合作,但该员工的行为并未得到这些应用公司的许可。”

    对此,迅雷公司公关总监姜涛在接受本报记者采访时也否认了该经理铤而走险是为了获得私利的可能性,“实际上他是为了完成自己的流量任务而去做这样一个推广插件,但这种执行手段是公司明令禁止的。”

    据某媒体报道,有知情人士分析认为,背后深层次的原因,是迅雷下载客户端和迅雷看看在线视频代表着两种截然不同的商业模式和发展方向,在获取公司发展资源支持上长期以来已积压了诸多矛盾。

    根据该媒体进一步的报道称,一名迅雷看看的负责人在内部邮件中称,迅雷看看2013年设定的移动安装量每日新增目标数量达15万,按计算一年所需正常推广费用高达5400万,而公司给的预算只有800万用于无线推广,目前还都用在了和品牌硬件厂商合作预装上面。

    “在优酷土豆既定好赛道的长跑里,我们跟得颇为辛苦,如果不通过换量很难完成任务目标,同时,迅雷所有无线产品的量还不大,很难实现等价兑换,无奈之下才破例采取插件推送的形式进行换量操作。”该人士在内部邮件中辩解到。

    而根据此前迅雷总裁邹胜龙透露的数据,3年前迅雷主要收入来自于广告业务,特别是视频广告。但2013年以来,60%-70%的收入是面向用户的收费,其中会员收费、云加速产品是迅雷主要的收费产品。邹胜龙透露,目前会员收费的主体主要来自于4M、8M、12M的高带宽用户。从这些数据来看,迅雷的盈利中心及公司重心都从迅雷看看转移到了会员下载客户端。

    截至本报发稿时至,迅雷并未公布私自“耍流氓”的迅雷看看负责人的具体姓名。


技术解读

迅雷流氓插件如何自动安装的?

本报网络技术工程师 陈邓新

    恶意插件通过迅雷看看平台自动安装,被安装的恶意插件的电脑在C:\Windows\System32目录下,有一个带有迅雷数字签名的“INPEnhSvc.exe”文件,它启动后会访问http://conf.kklm.n080*.c*m网站,下载恶意指令文件,恶意指令文件有两个作用,一个是提供安全分析软件名单,如果发现这些安全分析软件恶意插件就停止工作,另外一个作用是下载5个APK:九游棋牌大厅、91手机助手、360手机助手、UU网络电话和机锋应用市场。

    从恶意插件运行手法来看,的确跟木马有许多共同之处,如果不是它带有迅雷数字签名并通过迅雷看看传播,早就被安全软件查杀了。为什么安全软件没有察觉该恶意插件呢?那是因为为了提高效率,主流杀毒软件都配置了一个白名单——即文件不需要检测的名单,而迅雷的文件就在白名单中。

    从该exe的特征和行为来看,属于典型的后门软件和病毒,并且使用类似云指令的技术来强制后台推送用户不需要的东西,来达到不可告人的目的,堂堂迅雷竟然能出现如此下流的软件,而主流杀毒软件也放过任其发展,值得网民警惕和深思。

 
本文出自2013-08-26出版的《电脑报》2013年第33期 A.新闻周刊
(网站编辑:pcw2013)


我来说两句(0人参与讨论)
发表给力评论!看新闻,说两句。
匿名 ctrl+enter快捷提交
读者活动
48小时点击排行
论坛热帖