迅雷“病毒”事件始末

全球最大的下载服务提供商迅雷公司最近深陷制造病毒丑闻,包括央视财经在内的多家媒体转载文章或发表微博,指出带有迅雷数字签名的病毒INPEnhSvc.exe已通过迅雷客户端扩散近两个月,数千万用户受其感染。这是月初有媒体曝光迅雷内部对病毒事件讨论的六封相关邮件之后,该事件的又一次发酵。 全球最大的下载服务提供商迅雷公司最近深陷制造病毒丑闻,包括央视财经在内的多家媒体转载文章或发表微博,指出带有迅雷数字签名的病毒 INPEnhSvc.exe已通过迅雷客户端扩散近两个月,数千万用户受其感染。这是月初有媒体曝光迅雷内部对病毒事件讨论的六封相关邮件之后,该事件的 又一次发酵。 引爆近日迅雷病毒事件讨论的是IT门户Donews的一篇报道,文章称“自6月下旬有用户不断反馈电脑存在异常,发现位于C:\Windows\System32目录下一个名为INPEnhSvc.exe带有迅雷数字签名的文件”。 “经专业技术人士分析INPEnhSvc.exe的7个版本,被证实内置后门,并且使用类似云指令的技术来强制后台干扰和修改用户电脑。”“截止目前,该病毒已通过迅雷客户端扩散近两个月,已有超过2800万用户中招,并且依然每天有几十万在扩散运行。” 该文一经发表引发众多媒体转载,并在行业内引起轩然大波,陆续有网友在论坛内发帖进行质疑和调查。目前Donews原文已经无法打开(不知是因为文章表述失当还是迫于当事方的公关压力),但文中所涉及“迅雷制造并传播病毒”问题却未止步于此。 20日晚间,“迅雷被曝制造并传播计算机病毒!数千万用户成肉鸡”这一消息,经央视财经新浪官方微博转发,再度引发网友热议。

央视财经微博截屏

六封迅雷“内部邮件”难辨真伪 事实上,迅雷卷入“病毒事件”早在月初已现端倪。 此前有科技博客发表文章表示,迅雷制造并传毒的背后是利益驱使,高层方面则对此行为给予了默许。记者利用谷歌快照,还原了原载于8月1日雷锋网的一篇文章《迅雷惊现“掘雷者”高层包庇共谋私利》(目前该文章也已无法打开)。 文中提供了6封来自“迅雷各大高管以及迅雷看看高管”的内部邮件,表述“此次事故来自迅雷看看业绩压力所为,初衷是为了推广公司的无线产品”,“无奈之下才破例采取插件推送的形式进行换量操作”,“通过帮他们推广手机端应用,他们来帮我们推广无线看看,达到换量的目的”。 20日下午,大公科技获得国内著名的计算机安全交流平台卡饭网网友提取的文件INPEnhSvc.exe,查看该程序属性时发现其确实具有 “ShenZhen Thunder Networking Technologies Ltd.”的数字签名,确认该文件的确来源于迅雷的组件。

INPEnhSvc.exe的数字签名

记者查验:INPEnhSvc.exe存在异常 记者随即在专业可疑文件分析服务的网站Virustotal(https://www.virustotal.com/zh-cn/)和Virscan(https://www.virscan.org/)上上传该文件进行分析检测,Comodo、ESET-NOD32、江民杀毒等多家知名杀毒软件厂商提示红色威胁,其中ESET-NOD32在两份检测结果中均直接指出该文件为Win32/Kankan.A trojan类型的木马病毒。 综合网络上现有的用户反馈和技术分析,INPEnhSvc.exe的运行特征和行为属于远程控制类的木马后门和病毒,它主要功能有: ①独立于迅雷的自启动后门程序,未经用户允许植入Windows的系统目录,开机自启动。 ②根据云端配置文件的指令,在用户电脑上修改IE浏览器首页、创建桌面快捷方式、在IE收藏夹中添加网址。 ③病毒配置多种apk,会后台下载安装adb(Android手机驱动),当用户手机连接至电脑上,会在用户手机上静默安装九游棋牌大厅、91手机助手、360手机助手、UU网络电话、机锋应用市场等apk软件。 ④后门会监测若干种系统管理工具和软件调试分析工具,一旦发现,后门会停止危险动作,以达到隐藏目的。 知名杀毒软件厂商正密切关注 针对网上流传的“360、金山等杀毒软件公司将此程序已认定为典型病毒”说法,大公科技致电金山毒霸,一位不愿透露姓名的安全工程师向记者表示,目前金山正在对INPEnhSvc.exe进行行为分析,目前还没有报告结果,对此事不方便做评价。 记者多方求证后确认,360与金山两公司官方尚未做出任何认定,目前均处于分析中,也未透露任何结果。 大公科技就此事询问瑞星公司,市场总监唐威告诉记者,如果发现有确凿证据表明迅雷软件中的程序组件具有病毒行为,瑞星作为杀毒软件和安全厂商是有义务指出的,并且一定会将其查杀。 目前,迅雷下载软件客户端用户约4.6亿,每月活跃用户为3亿。唐威说,假如经过分析扫描确认迅雷INPEnhSvc.exe被判定为病毒,其危害可想而知。 而对于卡饭网等技术交流论坛内INPEnhSvc.exe的分析贴,唐威对其可信程度持保留态度,因操作人员的技术专业程度和软件所在的环境变量不同,可能会影响分析和判定结果的不同。 唐威表示,一切还要等瑞星官方的分析报告结果,才能给出结论,目前无法推测或判断迅雷通过INPEnhSvc.exe“留后门和传播病毒”行为是否成立。 迅雷成立紧急调查小组应对 影响尚难预估 2003年在深圳成立的迅雷,10年间已发展成为全球最大的下载软件提供商。目前迅雷的付费会员超过400多万,每位会员单月收费10-30元不等,付费会员是迅雷的主要收入。 业内人士分析认为,由于INPEnhSvc.exe程序带有迅雷的数字签名,因此无论是迅雷数字签名泄露、被窃取,还是内部员工和团伙所为,都会令迅雷公司难辞其咎、身陷制造病毒丑闻,极可能导致用户迁怒于迅雷客户端,将其卸载,对迅雷造成难以预估的影响。 若该程序被认定病毒,杀毒软件会将其列入拦截黑名单,迅雷长期积累的信誉将受到严重影响,而这种挟持用户、捆绑软件、修改用户文件的行为也涉嫌侵犯用户的隐私,面临法律风险。 迅雷市场部门一位王姓员工接受记者采访时表示,公司已就此事成立紧急调查小组,将适时举行发布会进行说明和澄清。 评论:迅雷病毒门,好一场为达目的不择手段的戏 在电影《社交网络》中有这样一幅画面,Facebook的创始人之一爱德华多,辛辛苦苦在纽约的街头为Facebook拉广告商,但是他根本不明白Facebook塑造的商业帝国有多大,完全是卸磨杀驴。 迅雷的病毒门却远远不止是一件卸磨杀驴的事件,其关乎的是企业的操守问题。我们纵观整个迅雷病毒门事件,不难发现这和迅雷看看自身是脱不了干系的,而且迅雷公司也并未就自身与这款插件之间的关系说清楚,只提到这是内部人士私下所为。至于这款插件为何会如此轻易的传播到用户的电脑中,为何该病毒散播了两个月,影响用户量达到2800万的时候才出来澄清事实,迅雷官方却并未给出回复,不少业界人士都认为迅雷避重就轻。 事件回顾 迅雷的官方信息透露,7月27日,迅雷公司接到一位网民的反馈:发现一个位于C:\Windows\System32目录下,名为 “INPEnhSvc.exe”,带有迅雷数字签名的文件有问题,公司技术人员迅速从用户机器上将此文件取回,经逆向分析,发现该文件有流氓行为:其在满 足某些条件时,会在用户不知情的情况下,该程序会后台下载并自动安装APK到连接至当前计算机的手机上,这些APK为“九游棋牌大厅”、“91手机助 手”、“360手机助手”、“UU网络电话”、“机锋应用市场”带来流量。 迅雷官方表示,该插件自6月19日上线,至发现时止,影响了上千万的用户。 姗姗来迟的道歉,受伤的是用户 迅雷的这款病毒插件,在6月份就已经上线,直至扩散了两个月,2800万用户中招之后,迅雷才发表官方声明声称道歉。 在扩散的过程中,有几点让用户感到疑惑,第一个是为何这款插件会如此轻易的传播到用户电脑中;第二个就是为何经历了两个月,还是用户爆料才被发现,如果没有用户爆料,是否迅雷的几亿用户都会被这款插件所侵袭。 姗姗来迟的道歉,受伤的只会是用户。迅雷公司迅雷公司一再声称的是这款插件不含病毒性质,却没有说出其根本实质是——该程序会后台下载并自动安装 APK到连接至当前计算机的手机上,这些APK为“九游棋牌大厅”、“91手机助手”、“360手机助手”、“UU网络电话”、“机锋应用市场”带来流 量。 迅雷光是开除一名负责人,与开除一名“实习生”、“临时工”的行为无异,对用户交待也仅仅只是道歉。用户默认安装的这些插件,是否是安全的,是否有 吸流量、扣费等现象,其并未声明,用户几乎是被强制安装这些未知的软件。已经被该插件感染,病可能下载这些软件的用户,迅雷也未作出声明如何处理,假如这 些软件存在扣费现象,那么它还是在不停的吸费。 迅雷的做法有些治标不治本,就像火灾已经发生了,只知道去处理事故责任人,却没有在第一时间去救火,这才是最让用户蛋疼的地方,迅雷置这2800万用户于何地呢?难道说就因为这2800万用户是迅雷的免费用户,迅雷就可以不顾用户的感受,私自“敛财”? 知名互联网评论人士魏武挥写过《迅雷:又一个慢公司》一文,迅雷这次是真慢了,但是用户是伤不起的。 为达目的,不择手段? 有科技博客发表文章表示,迅雷制造并传毒的背后是利益驱使,高层方面则对此行为给予了默许。在《迅雷惊现“掘雷者”高层包庇共谋私利》一文中,提供 了6封来自“迅雷各大高管以及迅雷看看高管”的内部邮件,表述“此次事故来自迅雷看看业绩压力所为,初衷是为了推广公司的无线产品”,“无奈之下才破例采 取插件推送的形式进行换量操作”。“通过帮他们推广手机端应用,他们来帮我们推广无线看看,达到换量的目的”。 迅雷看看在迅雷的体系中占有重要的战略地位,特别是在视频领域出现红海的时候,而整个下载市场都出现萎靡不振的情况。所以在新的市场格局中,迅雷想要占有一席之地,迅雷看看必须发力,这是迅雷赋予它的使命。 华兴资本创始人及CEO包凡在接受《时代周报》记者在李瀛寰的采访中表示,未来的视频行业只有四张船票:优土集团、百度爱奇艺、搜狐和腾讯。优酷结合土豆,爱奇艺结合PPS,等待联姻的PPTV,视频抱团是当前最为火热的现象,而迅雷看看似乎在视频领域被人遗忘了。 结合已经边缘化的迅雷看看,再加上迅雷赋予它的使命,迅雷的病毒门事件就不足为奇了。让市场和用户难以释怀的是迅雷为达目的,完全不择手段,和传统 的营销推广方式不同,这个是直接不经用户同意,就为用户做出选择,这不是OTT,这是赤裸裸的强奸用户。所以,如果有用户发现自己的电脑里在装有迅雷的情 况下,突然莫名多出了“九游棋牌大厅”、“91手机助手”、“360手机助手”、“UU网络电话”、“机锋应用市场”这些软件,也许你就是被迅雷的这款插 件感染了,赶紧去找迅雷哭吧。 迅雷称这是一位部门负责人,擅自动用子公司资源制造了这一带有流氓行为特征的插件,这就像是“皇帝的新装”一样,谎言一捅就破。开除负责人并不能解决任何问题,对“受伤”的2800万用户,以及剩下的正在因为这个插件事件颤抖的用户一个交代才是重点。 在当前网络安全问题愈演愈烈的时候,用户的心始终被各种安全问题冲击,迅雷作为一个拥有亿级用户量的大型互联网公司,本应在网络安全问题上作出表率,这种病毒门事件,实属不该。 这场为达目的不择手段的戏,迅雷,你打算怎么喊CUT呢? 文/郭静

0%