会员登录 注册新帐号电脑店行业门户 | U盘启动工具

首页

当前位置: 电脑店主页 > 资讯中心 > IT业界 > 国内 > “悍马”病毒源头调查:猎豹移动将线索指向微赢互动

“悍马”病毒源头调查:猎豹移动将线索指向微赢互动

发布时间:2016-07-17 08:49      点击:     关注官方微博:

 影响全球手机的一款手机病毒“悍马(hummer)”究竟是谁制造的?7月初,安全厂商猎豹移动(美股代码:CMCM)的安全专家指出,经过对悍马病毒样本分析发现,多条线索都指向我国的一家互联网广告公司——微赢互动,该公司在2015年被A股上市公司明家联合(证券代码:300242.SZ)收购。

  猎豹移动安全专家李铁军在接受《中国经营报》记者采访时表示,上述多条线索指向微赢互动的原因是,猎豹移动是通过分析病毒样本的服务器信息、域名注册信息、上市公司资产公告、上市公司十大股东信息、全国企业信用查询系统等对病毒进行追溯得出的结论。

  针对猎豹移动的线索指向,7月8日,明家联合发布公告否认制造、传播悍马病毒。7月13日,明家联合公关部门告诉本报记者,其追溯病毒的核心是病毒代码使用的域名,而该域名已经在2015年转出,但猎豹移动并未与明家联合进行核实。

  那么肆虐全球的悍马病毒究竟来自何方?明家联合子公司微赢互动是否涉事其中?这些依然有待国家监管部门予以公断。事件背后微赢互动盈利模式或受到质疑,而安全厂商罕见深挖病毒来源的意图也受到关注。

  谁是悍马病毒制造者?

  早在6月22日,猎豹移动安全实验室发布安全警告,发现一个影响全球的手机病毒家族,并将其命名为“悍马(hummer)”。今年以来,悍马病毒全球日活峰值超140万,平均日活119万,其中中国受害手机每天超过6.3万。

  7月7日,猎豹移动的安全专家进一步指出,经过对悍马病毒样本仔细分析之后发现,多条线索都指向微赢互动。

  其实在年初,“HummingBad”的行为就被发现,360和猎豹相继做出了安全预警和风险提示。不久之前,以色列安全厂商Check Point也发布报告称,发现恶意软件(HummingBad)是由中国移动广告企业微赢互动海外平台开发团队所开发。

  根据猎豹移动发布的报告可知,目前悍马手机病毒已遍布全球,印度、印尼、土耳其位居前三,中国居第四。其中,印度是悍马病毒感染量最高的国家。在印度肆虐的十大手机病毒中,第二、三名是悍马病毒家族成员,第六名是悍马病毒推广安装的其他病毒。

  据悉,悍马病毒自带ROOT(完全掌控系统底层及系统文件的系统权限)模块,最新变种拥有18套不同的ROOT方案,一旦手机被感染,病毒即获得最高系统权限,因而一般的毒查杀方法均不能彻底清除。中毒之后,手机会频繁弹出广告影响正常操作。病毒会推广手机游戏,甚至在后台静默安装色情应用,许多中毒用户发现手机总是被莫名安装很多软件,卸载之后不久再次被安装。猎豹移动安全专家在一部测试手机安装该病毒APP,结果病毒在短短几个小时内,访问网络连接数万次。消耗网络流量2GB,下载APP超过200个。

  据猎豹移动推算,以每台中毒手机每天仅安装一个APP最低收入0.5美元估算,悍马病毒团伙每天获利超50万美元。

  然而在7月8日,明家联合便就上述事件发布了澄清公告,否认微赢互动参与制作及传播悍马病毒。“微赢互动从未制作或传播或使用过HummingBad恶意代码,该代码更新、发回报告等运营方式涉及的cscs100.com等12个域名并非微赢互动所有;该代码涉及的两个域名hummermobi.com和hummeroffers.com已于2015年11月11日转出,此后该域名的持有人并非公司或公司员工。”明家联合在公告中表示。

  7月13日明家联合公关部门在接受《中国经营报》记者采访时表示,公司有明确的证据表明病毒代码涉及的域名已经在2015年底转出,但因为文件信息涉及交易人隐私问题暂时不会对外公布,当国家相关监管部门调查需要时会对他们提供。

  对于明家联合的澄清公告,7月13日,李铁军在接受记者采访时坚持认为,猎豹移动安全实验室发布的《悍马(Hummer)病毒家族追踪》报告的准确性。

  那么,肆虐全球的悍马病毒究竟是谁制造、传播的,似乎有待国家相关监管部门予以公断。

  猎豹移动追溯病毒源头遭质疑

  根据猎豹移动的报告,猎豹移动安全专家通过对病毒样本的分析,追踪到用于悍马病毒升级的域名。随后通过查询域名注册资料,对比明家联合公开信息发现,多条线索都指向微赢互动。

  据称,自2016年年初开始,悍马病毒投入cscs100.com等12个域名用于病毒更新和推广指令下发。猎豹移动通过查询域名注册资料发现域名拥有者信息为“陈阳”。注册这些域名使用的邮箱,被发现用于新浪微博,账号名为“Iadpush陈阳”和“McVivi_Vip”,微博简介为IAdPush员工,IAdPush是微赢互动旗下的广告平台,主营业务为移动广告。据上市公司已公开信息,微赢互动的联合创始人之一也叫陈阳,是该公司负责技术的CTO,名列上市公司明家联合的第十大股东。另外,在悍马使用的病毒域名的注册资料中,地址信息“重庆市渝中区大溪沟星都大厦5层”,正是微赢互动公司重庆分公司的办公地址。

  在病毒域名的whois(用来查询域名的IP以及所有者等信息的传输协议)信息中,有两个貌似是商业广告公司的网站: hummermobi 和hummeroffers。经过查阅上市公司公开资料,这两个域名属于上海昂真科技有限公司,而该公司为北京微赢互动科技有限公司在上海的全资子公司。猎豹移动查询工商注册资料发现,陈阳是上海昂真科技有限公司重庆分公司的法人代表,也是两个病毒更新域名的实际持有人,与前述查询结果吻合。

  除此之外,经过对病毒代码中留下的相关线索调查,猎豹移动安全专家在SourceForge.net发现悍马病毒制造者员工建立的账号(注:SourceForge 是全球最大开源软件开发平台和仓库,是一个为开源软件提供存储、协作和发布的平台),该账号上传了大量内部资料,包括广告后台使用流程(这个后台同时也是病毒的升级地址)等机密文件,甚至包括APP测试流程、KPI考核文档等。

  与猎豹移动长达数页的分析报告相比,明家联合发布的澄清公告则简短很多。明家联合公关人员告诉记者,猎豹移动上述分析报告的核心其实是悍马病毒使用的域名,而报告提及的域名微赢互动已经于2015年11月转让出去。“上述域名最初的注册人确实是微赢互动的员工,不过在域名转让之后,相关注册资料并未跟着发生变更。”

  对于猎豹移动将悍马病毒的制造者直指微赢互动,明家联合表示“猎豹移动的做法欠妥”。“猎豹移动在年初发现该病毒时已经上报给国家有关部门,因此猎豹移动不该对外披露病毒的详细信息;其二,猎豹移动并未就相关信息与明家联合进行核实,至今也未和明家联合接触;另外,猎豹移动或涉嫌以非法方式侵入明家联合前员工的网络账号。”明家联合公关部门对记者表示。

  业内人士表示,安全厂商披露报告的时候,一般只说病毒特征和预估风险,但很少深度挖掘病毒的来源及用途。此次猎豹移动将通过深度挖掘病毒来源指向明家联合的同时,这一举动也被质疑为自我营销。

  据悉,猎豹移动已对旗下猎豹安全大师、猎豹清理大师两款安全产品进行升级,并提供专杀工具供全球用户下载,帮助用户清除悍马病毒,中毒用户亦可选择通过手机刷机来彻底清除。

  浙江工商大学经济学院教授陈宇峰和品牌与网络营销专家讲师刘杰克在接受《中国经营报》记者采访时都表示,猎豹移动上述举动或为借机宣传其杀毒产品,以及品牌的营销活动。而猎豹移动则并未正面回复记者的相关问题。

  病毒广告营销前景难料

  在猎豹移动发出的报告中,猎豹移动安全专家从悍马病毒样本的时间节点上发现了一些巧合:2015年5月,病毒1.0版本被截获,仅有两个样本,短短两个多月之后,样本数量增加到近200个;通过搜索引擎发现,2015年6月微赢互动被明家联合(原明家科技)收购。

  猎豹移动的上述发现对明家联合收购微赢互动这项交易,以及微赢互动的盈利模式提出了质疑。

  公开资料显示:明家联合原是一家以电涌保护产品为主的设备制造企业,在2015年并购三家互联网公司后,逐步转型互联网广告业务。记者检索明家联合公告发现,2015年6月明家科技发布收购公告,公司宣布分别以10.08亿元收购北京微赢互动科技有限公司的100%股权。

  公告称,微赢互动旗下产品主要包括Iadpush平台、易盟平台及千速平台,覆盖亿级媒体资源,且覆盖了过亿规模手机用户群体。根据签订的交易协议,微赢互动承诺2015年至2017年,公司扣除非经常性损益后净利润分别不低于7150万元、9330万元和12000万元。微赢互动在2013年、2014年扣除非经常性损益后净利润分别为827.17万元、4248.13万元。

  值得注意的是,彼时该项交易,因为增值率高达934.84%、覆盖过亿规模手机用户群体、2013年到2014年业绩快速增长原因以及毛利率等问题,曾引起社会关注,并引发深交所问询,要求明家联合对微赢互动广告投放到手机用户的方式、盈利模式、毛利率等问题进行说明。2015年6月,明家联合对深交所的问询进行了回复。

  中投顾问文化行业研究员蔡灵在接受本报记者采访时曾表示,“一般公司在做业绩承诺时,都会将业绩定得较高,这样有利于提高投资者信心,吸引投资者进行投资,但实际上真正能够达到承诺业绩的公司少之又少。”

  然而根据明家联合的公告显示,2015财年微赢互动超额完成业绩承诺。根据《审计公告》,微赢互动 2015年度合并报表中的净利润为7585.28万元,其中归属于母公司所有者的净利润为7585.28万元;扣除当期非经常性损益的合并净利润金额7421.63万元,其中扣除非经常性损益后的归属于母公司所有者的净利润为7421.63万元。较2015年承诺业绩7150万元还多出271.63万元。

  而明家联合完成2015年的多项并购后,当年的营业收入与净利润均大幅增长。财报数据显示,明家联合2015年营业收入9.01亿元,较2014年增长4倍以上。其中移动互联网业务营业收入8.02亿元,占比89.02%。2015年净利润5112.48万元,较2014年增长11倍。

  明家联合在报告中表示,微赢互动业绩的增长得益于国内移动广告市场的高速增长。而悍马病毒的出现则揭开病毒与广告之间的黑色产业链。

  据易观数据,2012年至2015年,移动广告市场规模均保持超过100%的增速。与此同时,移动客户端病毒的数量也随着移动广告的市场规模在增长。根据国家计算机病毒应急处理中心发布的《第十五次全国信息网络安全状况暨计算机和移动终端病毒疫情调查分析报告》显示,2015 年,我国手机网民数量达6.2亿。 2015 年有 50.46%的移动终端使用者感染过病毒。

  “有市场需求就有供应,与正常的广告营销相比,手机病毒是一种低运营成本的广告营销渠道;另外从广告客户角度来说,病毒广告确实能够给客户带来流量。”刘杰克表示。

  中国电子商务协会网络营销研究中心专家委员唐兴通对记者表示,由于手机屏幕比较小,在移动端的病毒广告——比如弹出式广告、强迫用户完成安装的广告——格调低、传播效果糟糕,长此以往对企业品牌的影响也不好,因此病毒广告对大中型企业而言并不是一种可取的广告营销方式。

  什么是病毒广告?

  移动广告主要分三种收费模式:

  一是按广告展示次数收费,此类广告产品只要完成内容展示即算作广告投放完成;


  三是按照广告成果进行计费。此类广告产品只有当广告主实际产生收入时,才会分成给微赢互动。         二是按广告带来的产品收入分成计费,此类广告产品需要用户完成产品安装、首次使用,才算作完成广告投放;

  目前,移动广告已经成为一个巨大的市场。根据艾瑞咨询进行的市场调研和预估,2014 年我国移动广告市场规模为296.9亿元,在过去三年中均保持超过100%的增速。艾瑞咨询预计2015 年移动广告市场规模将达到610.1亿元,甚至超过前三年的总和。 

  但近几年,移动客户端病毒的数量也跟随着移动广告的规模而增长。根据国家计算机病毒应急处理中心发布的《第十五次全国信息网络安全状况暨计算机和移动终端病毒疫情调查分析报告》显示,2015 年,我国手机网民数量达6.2亿。 2015 年有 50.46%的移动终端使用者感染过病毒,比 2014 年上涨了 18.96%,涨幅较大。 

  流氓病毒能自动弹出广告,强迫用户完成安装,提高自身流量,对移动广告商而言无疑是增长利润的利器。

★★★ 电脑店行业门户(www.diannaodian.com)独家文章,欢迎大家转载 ★★★