下载看详情
社评:美方可以讹诈一家公司以讹诈一家公司以讹

病毒是怎么赚钱的?剖析样本发现六种赚钱方法

03-24 和讯名家
语音播报预计12分钟

  现在虽然各种软件都不算贵,但不少人和小企业还是习惯用破解版,也就是俗称的盗版。

  但盗版软件往往会出各种问题,我今天翻360公司的病毒分析报告,发现了一个好玩的病毒样本。

  从病毒的表现看,这个样本背后是一个工作室,或者说是个小团伙,不再是一个人能搞定的。

  它仿冒了3500多个常用软件,尤其是设计、办公软件,分析报告解析的样本是“Microsoft OfficeWord 2010破解版”;

  从病毒的表现,它的主要入侵途径是搜索引擎,当用户下载该样本时,它会检测用户来源,如果不是从搜索引擎来的,就给出一个正常的软件链接;如果是从搜索引擎来的用户,则给病毒链接。(这是一种跟安全公司对抗的手段,因为安全公司会用工具自动取下载新版病毒,不是从搜索引擎搜到后下载)

  这个病毒的赚钱方式不少,比如劫持电商网站、篡改导航地址、强制弹出广告、劫持私服服务器等,如此多的赚钱手法,说明他背后是个成熟的产业链条,不在于传统意义上的黑客单打独斗;

  下面,黑奇士(id hqssima)将对这个样本做深入剖析阐述。

  普通用户是怎么感染病毒的?搜索引擎是重要途径

  当你想装一个盗版word时,咋办?正版软件去微软官网就好,盗版怎么弄。

  顺理成章地去百度一下,或者去Google一下。

  好,那我就想办法让你搜到我。

  办法有很多种:入侵一个大型下载站,把我的病毒放上去,他们权重高,搜索时排在前面。但这种网站通常有专业安全维护人员,不好攻入;

  或者自己建立一个网站,但自己建立的网站短期内权重不高,即使有人下载也很少,那就赚不了多少钱。

  有的黑客聪明一些,会建立一个伪装成正常商业公司的网站,在搜索引擎买广告,只要肯花钱,就能买来用户。但这种买的网站会有各种流程,放盗版软件的话会有种种问题。

  所以业内最大量的散毒网站,其实是大量购买小微网站的广告,表面上看上去是正常的软件,当你安装的时候捆绑、或嵌入某些插件,利用这些插件执行下载操作。

  但这次的样本,下载时会检查用户来源,只有特定地区、特定搜索引擎来的用户,才会给出病毒下载链接。这说明这个病毒的下载网站,可能是通过黑SEO做排名做上去的。回头有机会,我会讲讲SEO这个事。

  总之,当用户在搜索盗版word的时候,能在第一屏看到、下载,对于这个病毒来说,就足够了。

  下载之后,安装过程看起来正常,如图:

病毒是怎么赚钱的?剖析样本发现六种赚钱方法

  但其实它会在后台悄悄加入浏览器扩展,以从事进一步的非法动作。

  根据360给出来的报告,病毒除了会仿冒盗版Word之外,还会仿冒40余种常见办公软件,关键词组合如下图:

病毒是怎么赚钱的?剖析样本发现六种赚钱方法

  从搜索引擎搜这些软件,同样可能会中招。

  病毒赚钱方式多达六种,背后有黑色产业链支撑

  首先需要说的是,下载器类的病毒,主要的作用就是:与杀毒软件对抗,定时访问特定网站接受远程命令。

  所以本文提到的病毒危害,只代表当时分析时的危害,它会随时更新、随时加入新功能。

  从该病毒的分析报告提到的危害来看,它的赚钱方式主要有以下六种:

  1、篡改浏览器首页,赚取导航站佣金。以前导航站顶峰的时候,装一台电脑可以给推广者5-10元的佣金,现在的行情我不知道,应该也不便宜。

  2、安装推广软件,赚取佣金。以前的金主是浏览器、输入法、杀毒软件,不知道现在的金主都是哪些。每安装一次,就可以获得相应佣金。(所以什么免费杀毒大战、什么输入法大战,背后的得利者都是这些黑产,唉!)

  3、劫持电商网站,获取佣金。比如你本来输入的是某宝的网址,病毒却在浏览器中给你打开某东、某多;或者你打开某东,却弹出来某宝的广告,用户从广告中购买的任何商品,黑客都可以获取相应的报酬。现实中也许不会这么明目张胆,但实现的逻辑是一样的。

  4、劫持私服网站,直接获利。这个不用我多讲了吧,私服有多赚钱。

  5、病毒安装的浏览器扩展会模拟鼠标点击广告,直接获取佣金。这个根据广告类型的不同,获利有多有少,总之是游戏和教育广告赚的多,其余类型的少一些。(这条普通用户看了没用,但做风控的同学应该多留神这种类型,反作弊的时候不要误伤正常用户)

  6、劫持正常网站访问,强制插入广告。根据360的病毒分析报告,在某些地区的中毒用户上网页面中,会插入一个300*300的浮动广告。(通常来说,这种广告无法关闭,或者关闭了过几分钟再弹出,这也是用户投诉最严重的病毒危害类型)

病毒是怎么赚钱的?剖析样本发现六种赚钱方法

  (右上角就是病毒弹出的广告)

  用户中毒该怎么办?下载器感染很难彻底清除,建议重置电脑

  这种下载器感染,单纯依靠杀毒软件很难彻底清除。

  因为一个下载器会下载几十个其余的病毒在你电脑里“潜伏”,即使你清除掉大半,剩下的那些也还能照常起作用,照样劫持、弹广告。这也是为什么用户老说杀毒杀不干净的原因。

  所以黑奇士(id hqssima)的建议是:一旦发现自己的电脑狂弹广告,用杀毒软件杀不彻底,那就把电脑重置成出厂状态,这样最方便快捷。

  重置之后,按照以下三步来进行安全防护:

  第一,出厂状态的电脑,先用windows update打好补丁(不要用第三方工具,容易出问题);

  第二,安装一个杀毒软件并升级到最新版。杀毒软件要在打补丁的时候同时装,因为安装输入法、办公软件的时候特别容易中毒。先装杀毒,再装别的软件比较干净。

  第三,建议办公软件弃用盗版,用同样功能的免费软件代替。比如我现在写稿的这个软件就是国产WPS,很好用。下载这些软件尽量去官网,不要去第三方软件下载站。(但他当初推广的时候也用过捆绑手段,那个我不赞成)

本文首发于微信公众号:黑奇士。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。

(责任编辑:董云龙)
查看全文
去“和讯财经”看本文专题

标签推荐

推荐频道