中文版 Global
首页 > 安全资讯 > 正文

支持正版软件也要当心“李鬼”作祟

  • 2019-04-15 16:20:31

  近年来,随着社会的进步,越来越多的人开始关注知识产权保护的问题。也正是因为如此,付费购买正版软件也逐渐成为了越来越多的人的选择。诚然,注重知识产权的保护固然是一件好事,但在这期间,也一定要注意辨别产权方的真伪,万一掉入了某些“知识产权流氓”或“知识产权骗子”设下的陷阱,就得不偿失了。

 

  当然,这次要说的并不是最近闹得沸沸扬扬的某素材网站事件。而是要说一个在购买“正版软件”时遇到的无底深坑……

网友举报

  事情的起源,我们接到热心网友的反馈,说电脑的hosts文件被篡改,屏蔽了大量软件站点,导致很多正常网站访问异常。经排查,竟是一款清理软件导致的。

 

  照理说这款清理软件也算业界知名产品,怎么会做出修改hosts文件劫持用户网络的事情呢?难道说下载到的是款山寨货?查看一下软件签名——还真的就不是正品……

 

样本分析

  安装包释放了“双份的软件”

  我们知道,通常我们安装一个软件时,安装包会在%ProgramFiles%目录下创建一个软件自己的文件夹,并将文件释放到里面。然而经测试,该安装包在被运行后,则会在%ProgramFiles%目录下创建两个目录——如同是一次安装了两款软件。

 

而这两个目录中,前者是原本的正常软件,而后者,则是安装包厂商自己写的一个“李鬼”程序。

 

  同时,安装包还会向桌面释放一个快捷方式——而这个快捷方式文件所指向的,便是那个“李鬼程序”。

 

“李鬼”首次启动,会先打开浏览器并跳转到他们自己搭建的软件购买页面,向用户兜售软件。

 

  而更神奇的操作还在后面,“李鬼”再弹出了“购买页面”后,又在线获取了一份配置文件。

 

  网络数据经解析和简单格式化后,会得到一份json格式字符串:

 

其中AddHostList中的内容,需要再次进行解密。下图是其中一项字符串的解密结果。

 

程序对json字符串完成解析和解密后,会将内容写入为hosts文件,并替换系统现有的hosts文件。以此实现网络劫持。

 

被修改后的hosts文件如下:

 

  仅此一例样本,就对46个域名进行了劫持。在完成这些修改后,“李鬼”程序才会真正的去启动“李逵”程序,让用户开始使用软件。被屏蔽的站点不仅有软件官网,还有大量下载站,IT资讯站等,作者可谓“用心良苦”。


不仅仅是hosts劫持


  而这家公司出品的软件并不止这一款,使用的劫持列表也各有不同,比如我们测试的另外一款被二次打包的知名软件goldwave,其劫持列表是下面27个:

 

  除了劫持站点外,“李鬼”程序还会篡改软件原来的界面,授权页面,帮助文档等,将所有购买的渠道全部转到自己搭建的销售网站中。

下图就是其篡改goldwave主界面的代码截图:

 

  下图中:左侧为未经修改的帮助文档内容,而右侧则是被“李鬼”劫持篡改后所显示的文档内容。显然右侧内容完全被改变了,同时在页面中央位置有一个非常醒目的“Buy Now”按钮。

 

而点击按钮后,则会打开浏览器,并跳转到其自己搭建的购买页面。

 

生财有道,何须偷梁换柱

我们分析发现,从去年年底开始,有超过7款知名软件被篡改,超过50家站点被劫持。

 

其伪造的所谓“中文官网”(部分)如下:

ccleaner.cc

goldwave.cc

goldwave.cn

ultraedit.cc

axurechina.cc

cubase.cc

camtasiastudio.cn

  除上述专门为了伪造官网而注册的域名外,还有三个域名通过提供二级域名为任何需要展示的页面提供平台:87box.com、weikaiang7.cn、wangujiadian2.cn

 

  需要再次说明,我们不清楚该公司所销售的这些软件是否全部取得了软件版权方的合法授权,也不确定用户付了款后是否会真的能使用上合法的正版软件。但无论售卖行为是否合法,都不应该使用这种病毒式手段,来劫持和强迫用户到自己的网站进行购买消费。

  目前,360也已对其下载站点进行了拦截:

 

安全建议

  购买正版软件,是一件值得鼓励和支持的事情。但和购买其他商品一样,用户也要对购买渠道多加留意。对此我们提供以下几条安全建议:

    1. 建议用户尽量选择正规渠道下载软件,如软件官网、360软件管家等。

    2. 购买时要再次确认购买页面或渠道是否为官方渠道。若为第三方渠道购买,要确认第三方平台是否拥有合法的代理销售资质。

    3. 安装并开启安全软件,保障购买过程的安全。

IOCs

  MD5s:

    3fce11527a5f46890ad74b90fafc9233

    873a774692b9401bc8db6a140878403f

    83dc0d0276cd9ee87ed856d101b2b8b7

    a76089bca48836da8fdbf54e3a865219

    5e3c2469bb72243812aa99df9664f4b3

    363b94be3252015ad77ca1775d21629b

    349e43dfc2fc5f970521aa0893244dd6

   Hosts & IPs

   ruanjian88.com

   87box.com

   i77.in

   ihappysoft.com

  182.61.167.113

  182.61.162.176

  URLs

   hxxp://goldwave.ruanjian88.com/

   hxxp://ccleaner.ruanjian88.com/

   hxxp://axure.ruanjian88.com/

   hxxp://cubase.ruanjian88.com/

   hxxp://camtasia.ruanjian88.com/

   hxxp://xiazai.ruanjian88.com/newud/camtasia_newud.exe

   hxxp://xiazai.ruanjian88.com/newud/axurerp8_newud.exe

   hxxp://xiazai.ruanjian88.com/newud/cubase5_newud.exe

   hxxp://xiazai.ruanjian88.com/newud/goldwave_newud.exe

   hxxp://xiazai.ruanjian88.com/newud/ccleaner_newud.exe

   hxxp://xiazai.ruanjian88.com/newud/ultraedit_newud.exe

   hxxp://xiazai.ruanjian88.com/newud/idm_newud.exe


360安全卫士

热点排行

用户
反馈 返回
顶部