一公司開發的軟件被警方認定有“流量劫持”行為���,隨后警方立案調查�。然而�,案件地址并不存在、送檢電腦為“半報廢”產品、下載后也沒有造成任何損失���、鑒定結果顯示軟件創建后,就沒有被打開過.....一個看似簡單的案件,卻疑點重重�����。
軟件被認定“流量劫持”
2013年,李威威自主研發的反外掛系統取得了廣泛好評,年底他就被上海盛大旗下公司盛威聘請為技術總監���,主要負責網絡維權工作。一年后,他放棄百萬年薪從盛大離職,踏上創業之路��。
2015年7月����,受荊門市政府招商引資邀請,李威威帶領團隊,在荊門成立了湖北奧游信息科技有限公司,主要從事眾創平臺、游戲引擎、網絡安全�、游戲開發等業務�,并開發了一款“戰盟登錄器”軟件�,用戶可以通過該軟件建立某款游戲的私服����。
2018年,奧游公司將研發的“戰盟登錄器”向國家版權局申請注冊�����,經國家版權局檢驗審核通過�����,予以注冊登記并頒發了權屬證書���。
春風得意時�,李威威被福建南安公安立案調查�。
2023年1月11日,南安市公安局網監大隊在進行網絡安全檢查過程中����,發現位于南安市溪美街道南同路4-16號的福建某盛華通信息科技有限公司(簡稱某盛華通公司)���,存在二十一臺電腦被木馬病毒劫持的情況���。
隨后�,自稱為某盛華通公司相關人員的鄭某某向警方報案��,陳述其公司的21臺電腦因下載“傳奇登錄器”進行使用��,都出現瀏覽器訪問某些網頁被強制定向至某網站的情況,導致辦公電腦沒辦法正常運營�����。
2023年1月16日���,南安公安將該公司的筆記本電腦1臺���、電腦主機3臺送至福建美亞柏科司法鑒定中心進行功能鑒定���。鑒定認為該四臺電腦中的“傳奇登錄器hyt.exe”“訪問具有劫持功能”��。次日�,南安公安機關對湖北省奧游信息科技有限公司(以下簡稱奧游公司)相關員工以涉嫌破壞計算機信息系統罪��,予以立案偵查���。
經警方查明����,2019年開始��,在公司實際控制人李威威的指使下���,設計并維護劫持程序����。劫持功能會強制將客戶訪問引流至該公司經營的網站�����。該公司對外宣稱“hebav.today”為劫持站點�,具有大量流量����,從而吸引大量傳奇游戲經營者來做廣告��,從中獲取暴利��,再利用四方支付公司、人頭卡取現等方式“洗白”非法資金��,涉案廣告費金額達5089 萬余元��。南安公安機關將本案移送至南安市檢察院審查起訴�。
奧游公司員工紛紛離職
家屬稱案中疑點重重
隨著李威威被查�����,公司和個人資產被凍結����,奧游公司也無法正常運營����。李威威的妹妹李銀銀稱,涉案的軟件是為了讓用戶設立游戲私服,因為效果不是很好��,2020年的時候就已經免費下載����,公司也沒有再進行更新,涉及該軟件的部門都已經裁撤。
面對著即將被起訴,李銀銀表示���,在走訪和了解事情的經過后,發現該案件有著很多的疑點和不合理的地方,無法讓人信服���。
“在警方的記錄里,案發地址是不存在,并且報案人的住址也是一家修理廠。”李銀銀說,她通過查詢后發現�����,報案人和某盛華通公司沒有公開的雇傭關系��,不知為何能代表某盛華通公司進行報案。
發現的疑似4-16號地址
在案件多份材料和起訴意見書中,都提到了案發地位于南安市溪美街道南同路4-16號的某盛華通公司��。然而����,李威威家屬在走訪時卻發現,該地址是一片荒地�����,并沒有任何建筑。從南安市民政局查詢后,發現根本也沒有4-16號這處地址。
走訪的時候���,她們在附近只找到了一處40-16號的商戶。“這個地址是一個小區的底商,經營著一家煙酒店和飯店?����!崩钽y銀說�����,通過天眼查等軟件查詢����,所謂報案的某盛華通公司地址與辦事機構在廈門市思明區���。
40-16號地址為一家煙酒店和飯店
除了地址不存在以外���,讓李威威家人不能理解的是���,案中所說的21臺電腦��,一直沒有看到實物和照片,只看到了送檢的4臺電腦的照片�����?����!澳?臺電腦都是2006年的�,已經十幾年了�����,再能玩游戲的可能性不大���?����!崩钽y銀認為,開設一個游戲服務器����,只需要1臺電腦即可��,因為受服務器程序限制只能使用1個電腦ip,沒有必要使用21臺電腦進行�。
在筆錄中顯示��,報案人鄭某某稱公司的21臺電腦從兩三個月前就下載了戰盟登錄器,之后就每次都會出現跳轉其他網站的情況�。后來用木馬病毒查殺了網站才恢復正常��。而根據在案證據顯示���,之前電腦沒有安裝殺毒軟件���。
本案鑒定意見書中���,南安市公安局提供的檢材軟件����,李銀銀發現4臺被送檢的電腦中的游戲登錄軟件在鑒定前,創建時間和訪問時間均一致��?���!斑@說明軟件自被創建后一直未曾打開���?��!蓖瑫r讓李銀銀疑惑的是����,連軟件都沒點擊打開過�,怎么會被病毒劫持呢?
后臺檢索����,未發現南安市下載記錄
李銀銀通過在公司的后臺查詢�����,從2022年10月到2023年2月期間,用戶注冊后臺數據庫中��,無任何相關的注冊信息�����,說明在這其間整個南安市都沒有人使用過該軟件。
根據送檢資料顯示,在鑒定的登錄軟件上,寫著另外一家登錄器的名字����,軟件連接的游戲服務器IP地址也是另外一家官方游戲服務器地址��,顯示的官網、客服聯系方式、客戶qq群�����、購買地址也都是另外一家信息���,和案件中的軟件無關���。
送檢的登錄器是有他登錄器標識
案件被兩次退偵
津云新聞記者了解到���,針對該案���,南安市人民檢察院已經兩次對南安市公安局退回補充偵查���。檢察院退偵兩次�����,意味著公安機關已經進行了兩次補充偵查�����,但檢察院仍然認為證據不足或存在其他問題�����。
計算機流量劫持�,也稱為網絡流量劫持�,在法律上,計算機流量劫持可能構成非法侵入計算機信息系統罪���、破壞計算機信息系統罪等。通常�,要認定流量劫持行為�,需要證據顯示行為人故意實施了未經授權的網絡流量控制�,且該行為對他人權益造成了實際損害。
北京德和衡(大連)律師事務所刑事部主任由蕾律師認為���,在刑事案件中,如果檢察院認為公安機關移送的案件證據不足或存在其他問題��,不足以支持起訴����,可以決定將案件退回公安機關補充偵查�,退偵的主要目的是讓公安機關進一步收集證據�����,完善案件材料�,以便檢察院能夠更準確地判斷是否應當提起公訴�。
由蕾律師表示,如果本案的疑點得到證實,那么報案人或報案的策劃者將承擔報假案的法律責任。如果報案者故意報假案�,公安機關可依據《中華人民共和國治安管理處罰法》對其處以拘留和罰款�。如果報假案的行為嚴重擾亂社會公共秩序���,并構成犯罪�,公安機關將依法追究其刑事責任�����。比如���,報案人為了報復他人或達到其他目的�����,故意捏造事實向公安機關報案,導致他人被錯誤立案偵查�����、刑事拘留等��,這種行為就可能構成誣告陷害罪�����。
李銀銀說,奧游公司研發的戰盟登錄器是根據正版代理公司授權研發的��,用于預防侵權網絡安全�、保護消費者合法權益、降低網絡風險且經過國家版權局檢測備案享有著作權的PC登錄游戲客戶端�。該登錄器依法享有版權受法律保護�����,其本身并非“病毒”或“惡意木馬”,且在國家規定的網站上發布供用戶自愿下載安裝����。
津云新聞記者致電了南安市公安局���,多次撥打相關科室電話,卻一直無人接聽。
?���。ń蛟菩侣動浾?郭強)
信不少用戶都經歷過這樣惱人的經歷:打開常用的瀏覽器后����,突然發現首頁大變樣���,各種導航站鋪滿全屏���,還充斥懸浮廣告和各類彈窗����,好不容易修改回原有的首頁,沒過多久卻又被“劫持”����,難道自己的瀏覽器不能自己做主嗎��?事實上,網絡中因瀏覽器被修改�����、劫持而求助的事例比比皆是,火絨論壇也會每日收到大量相關問題的反饋和求助����,并專門為此設立板塊幫助大家解決問題�。
根據“火絨在線支持和響應中心”平臺數據顯示��,在近一年內火絨安全團隊處理過的用戶問題中�����,“主頁劫持”問題就已占據了問題總數的1/4以上��,甚至超過了常見的病毒類問題����,成為當下影響用戶自由使用電腦的首要難題����。
在此,我們梳理分析出“劫持主頁”的各類方式����,披露其危害和更深一層的利益關系��,并提供火絨相關防護功能、工具和安全建議,來幫助廣大用戶避免再遭遇主頁被劫持的困擾。
一、瀏覽器主頁劫持的方式
通常情況下�,劫持用戶瀏覽器主頁(鎖定用戶瀏覽器首頁)的方式有很多�,包括利用驅動��、通過修改配置及快捷方式�、流氓軟件劫持等等���,這些方式多數都是通過惡意軟件或瀏覽器插件完成的�,用戶一般很難發現被劫持的原因。
1.惡意驅動劫持
驅動鎖首是通過惡意驅動對瀏覽器主頁進行鎖定的。而惡意驅動常見于第三方下載站提供的系統��、軟件等工具中����,包括系統鏡像、PE系統、激活工具以及私服游戲�����。
值得一提的是�����,惡意驅動具備了較高的權限,因此劫持首頁后����,用戶即便發現了也很難解決處理�。根據“火絨在線支持和響應中心”平臺數據顯示�����,目前火絨解決過的主頁劫持問題中�����,利用驅動劫持首頁約占所有主頁劫持問題的一半。
2.流氓軟件劫持
一些軟件會帶有鎖定瀏覽器首頁等相關功能�����。如果具備鎖首功能的軟件是惡意�����、流氓軟件�����,便會擅自修改用戶的瀏覽器主頁,并且其相關設置功能極為隱蔽�,或干脆無法通過設置取消��,只能嘗試卸載進行恢復���。
另外,一些正規軟件也具備鎖定瀏覽器首頁相關功能����。不同的是��,這些軟件并不會擅自開啟或誘導用戶開啟功能,其目的恰恰是幫助用戶自主����、自由設置主頁���,并避免設置好的主頁被流氓軟件隨意“劫持”�,如火絨的“瀏覽器保護”功能�。
3.快捷方式劫持
用戶在不知情的情況下,安裝并使用了流氓軟件���。這類軟件會“暗箱操作”瀏覽器的快捷方式,將其目標程序替換成其他瀏覽器網址���。當用戶雙擊快捷方式啟動瀏覽器后,瀏覽器主頁即被劫持����。
4.瀏覽器配置錯誤
用戶在安裝某些軟件后���,可能無意間通過該軟件修改過瀏覽器主頁�����,或該軟件自動對瀏覽器主頁進行了修改,導致主頁被鎖定�����。通常用戶可重新設置恢復瀏覽器主頁�����。
但對于通過修改瀏覽器的主頁標簽頁,或是注冊表內的瀏覽器相關鍵值��,達到主頁劫持目的的其他軟件而言�����,設置瀏覽器或卸載軟件��,是無法恢復主頁的。
5.運營商與其他設備劫持
用戶網絡環境出現問題,還可能會與運營商��、DNS欺騙���、路由器劫持等有關����。這類劫持非常隱蔽且無法通過常規方式進行恢復。建議用戶更換設備或嘗試向有關部門投訴,處理解決。
二��、利益驅使下的“主頁劫持”現象
瀏覽器作為互聯網主要入口�,承載了巨大的用戶流量和商業利益,正因如此,也吸引了眾多不良廠商與病毒團伙將目光瞄向其中�����,利用上述惡意方式劫持用戶的瀏覽器首頁��,獲取流量和不當利益��。截至目前,火絨也曾多次發布相關安全報告�����,披露劫持首頁行為�����。
2019年1月份�,火絨安全團隊發現病毒團伙利用"遠景"論壇的系統鏡像傳播帶有后門屬性的驅動病毒�����,該病毒入侵用戶電腦后���,會劫持導航站�、購物網站牟取暴利���;
隨后���,火絨安全團隊發現一款名為"WIFI共享大師"的流氓軟件����,在沒任何提示的情況下強行劫持用戶瀏覽器首頁,并推送廣告信息,致超過20萬用戶受影響���;
同年12月,火絨發布報告披露惡意軟件“驅動精靈”在卸載時會主動投放后門病毒,用以在用戶電腦中執行云控鎖首以及軟件推廣等惡意行為�����。
三�、“主頁劫持”的影響與危害
劫持主頁帶來最直接的影響,就是強迫用戶改變使用習慣,剝奪了用戶自由使用瀏覽器的權益,以及面對各類為推廣流量新增的導航站����、彈窗和廣告時糟糕的體驗。
除此之外����,劫持主頁還可能會帶來伴隨的安全風險�。根據上述火絨數據和報告內容����,多數首頁劫持都是通過惡意軟件和病毒進行操作的,這表明一旦用戶首頁被劫持�,極有可能也會感染病毒�、遭遇惡意軟件���,面臨更大的風險��。
四�����、解決辦法
1、通過手動修改常規瀏覽器�、軟件的設置進行恢復���?�?蓞⒖蓟鸾q論壇【主頁劫持專項整治】專區【小白用戶如何解決首頁被鎖定問題?】����。
2����、若無法恢復成功�����,可使用火絨【快速查殺】功能(企業用戶)或【安全工具】中的【系統修復】功能(個人用戶)進行修復。
3���、對于利用驅動劫持問題,可使用火絨【專殺工具】有效解決�����。
4��、最后��,還可通過以下方式���,直接向我們反饋首頁劫持問題�,快速獲取火絨專業的幫助:
- 撥打電話:400-998-3555
- 通過火絨官方論壇反饋
- 郵箱:seclab@huorong.cn
- 微信�����、微博�、頭條��、知乎�����、B站平臺搜索【火絨安全實驗室】私信求助。
五�、安全建議
1�、謹慎下載并使用第三方網站的系統�����、工具��、軟件及私服游戲等等��,如需使用�,盡量選擇官方或正規渠道進行下載�。
2、安裝可靠的安全軟件,并開啟相關防護功能���,攔截病毒和惡意軟件,阻止注冊表等信息被篡改,防止主頁被劫持����?���;鸾q相關防護功能如下:
- 【軟件安裝攔截】功能可攔截捆綁下載的流氓軟件����;
- 【系統加固】功能可防止注冊表內瀏覽器信息被修改;
- 【瀏覽器保護】功能可鎖定瀏覽器,并保護瀏覽器首頁和搜索不被篡改��。
附火絨相關報告&論壇地址:
裝機工具老毛桃攜帶木馬病毒 卸載安全軟件進行惡意推廣
激活工具散播鎖首病毒“麻辣香鍋“ 誘導用戶退出安全軟件
病毒利用安全產品模塊 劫持流量�、攻擊其他安全軟件
"WIFI共享大師"劫持首頁推廣告 受影響用戶高達20萬
驅動精靈惡意投放后門程序 云控劫持流量、誘導推廣
論壇-小白用戶如何解決首頁被鎖定問題���?
http://bbs.huorong.cn/thread-61710-1-1.html
日,有不少網友向騰訊電腦管家反饋�����,稱使用Ghost鏡像文件做過的電腦系統��,會發現強行安裝各類捆綁軟件��、瀏覽器自動導航各類促銷界面、頻繁出現各種彈窗廣告等一系列流氓行為。
經騰訊智慧安全御見威脅情報中心檢測發現,Ghost鏡像文件內含后門木馬病毒����,劫持包括谷歌����、火狐等在內的23款主流瀏覽器主頁�����,并且能夠干擾主流殺毒軟件的正常運行。截止目前��,該木馬病毒已感染上萬臺電腦����。自進入8月以來,“獨狼2”病毒呈爆發態勢���,主要集中廣東、江蘇以及四川等地����。
(圖:該病毒劫持的瀏覽器頁面)
安全專家介紹��,該病毒屬于Rootkit系列���,名為“獨狼”��,最近一次出現在今年六月份,并持續活躍至今。由于在安裝盜版Ghost系統時就潛伏其中,Rootkit病毒家族可輕易獲取系統底層權限���,阻截殺毒軟件的查殺,并隨時在用戶機器上執行任意代碼操作。
從年初出現的“雙槍2”到6月爆發的“獨狼”病毒��,Rootkit家族依靠隱蔽性強��、反復感染��、難以查殺的特點,給用戶帶來了極大的困擾。
變種后的“獨狼”Rootkit家族更加變本加厲��,除了Ghost渠道傳播���,還增加了假冒系統激活工具傳播���,并且其模塊功能得到了進一步的完善����,增加自更新功能和后門功能的同時����,使用的明文字符串均進行了自定義加密。鑒于此���,騰訊智慧安全御見威脅情報中心將此次發現的“獨狼”變種命名為“獨狼2”病毒。
經分析����,“獨狼2”母體為某激活工具�����,在搜索引擎結果頁中購買了排名第一的廣告位,以此獲得了龐大的用戶下載量�。當用戶訪問激活工具的下載站點�����,可發現多個品牌的激活工具供其下載,看似功能強大��,實際上所有品牌的激活工具下載鏈接均為同一地址��,下載到的文件均為由易語言編寫的Dropper木馬���,啟動后會釋放出極具迷惑性的病毒文件,干擾用戶視線。
(圖:“獨狼”病毒植入的激活工具官網首頁)
騰訊安全反病毒實驗室負責人、騰訊電腦管家安全專家馬勁松介紹��,此類病毒木馬主要隱藏在Windows盜版激活工具中���,誘導和欺騙用戶關閉殺毒軟件后運行����,而這次傳播病毒的激活工具竟沒有激活Windows的功能。
(圖:騰訊電腦管家管家急救箱功能)
目前,越來越多的用戶逐漸重視安全和版權意識��,但仍有部分用戶習慣使用激活工具�、Ghost鏡像文件等盜版工具安裝電腦系統。對此���,馬勁松建議廣大用戶使用正版操作系統,同時安裝并保持騰訊電腦管家等安全軟件實時開啟狀態��。對于不幸中招的用戶�����,可使用騰訊電腦管家急救箱功能�,可徹底查殺Rootkit病毒�。
---------------------------------------------------------
1.本文援引自互聯網,旨在傳遞更多網絡信息,僅代表作者本人觀點����,與本網站無關���。
2.本文僅供讀者參考����,本網站未對該內容進行證實,對其原創性��、真實性�����、完整性、及時性不作任何保證。
