發佈日期:

IDF陳述全文:360營業 登記 地址平安閱讀器隱藏後門

IDF試驗室真誠接營業登記地址待社會各界同業包含360公司,配合努力展開通明、專門研究的交通與對話,聯袂推進internet平安行業自律,以營建安康美妙、可托賴的中國internet周遭的狀況。

 

公司註冊

 

IDFinternet威懾進攻試驗室

 

宣佈每日天期:2012年11月25日

 

 

 

 

 

IDFinternet諜報威懾進攻試驗室 是一個平易近間信息收集平安喜好者的技巧俱樂部機構,主幹成員由相干範疇的專門研究人士、技巧職員和專業喜好者配合構成。IDF試驗室的研討標的目的重要集中在:internet要挾成長趨向、終端平安治理、無線收集通信平安、僵屍收集等技巧範疇和產物研討上。IDF試驗室面向註冊地址寬大信息收集平安喜好者供給盤算機平安常識普及教導、介入對業界相干範疇產物、成長靜態停止客不雅的、自力的技巧、市場研討與評價,為平易近間信息收集平安喜好者生長為專門研究平安技巧從業職員供給平臺和橋梁。

 

目次

 

一、 陳述佈景…………………………… 3

 

二、檢測目標…………………………………. 5

&nbs地址出租p;

三、檢測目的軟件……………………………. 5

 

四、檢測周遭的狀況及東西……………………….. 5

 

五、360平安閱讀器 後門法式 檢測經過歷程……. 6

 

1、 檢測體系周遭的狀況預備……………………. 6

 

2、 ExtSmartWiz.dll文件感化檢測……………….. 6

 

3、 360平安閱讀器文件操縱監測……………….. 7

 

4、 360平安閱讀器收集抓包監測……………….. 9

 

5、 IE閱讀器抓包對照監測……………….. 12

 

6、 ExtSmartWiz.dll文件反編譯檢測………… 12

 

註冊地址 a、 按時器設置代碼檢測……………………… 13

 

b、辦事器懇求指令代碼檢測…………………. 13

 

c、履行法式指令代碼檢測…………………… 14

 

6、 後門法式 文件檢測…………………. 14

 

a、STB*.tmp文件資本剖析……………………. 14

 

b、ExtSmartWiz.dll文件輸出表剖析……………. 18

 

六、360平安閱讀器 後門法式 檢測成果………. 19

 

七、 附錄一…………………………. 23

 

1、 公然信與本陳述檢測項對照……….. 23

 

2、 《公然告發奇虎360公司 致工信部、公安部公然信》…… 24

 

八、 附錄二…………………………………….. 26

 

1、 修訂信息………………………………….. 26

 

2、稱謝…………………………………….. 26

 

一、陳述佈景

 

2012年10月29日,新浪weibo用戶@自力查詢拜訪員 宣佈長weibo《公然告發奇虎360公司 致工信部、公安部公然信》(下文簡稱:公然信),信中經由過程技巧剖析指證 奇虎360公司的 360平安閱讀器 隱藏 後門 ,是用戶體系平安和信息平安的嚴重潛伏要挾,是其競商業登記地址爭敵手產物體驗和辦事體驗的嚴重潛伏要挾。 包含金山反病毒專傢李鐵軍、方船子在內的浩繁網友轉發該weibo,公然信內在的事務亦遭到浩繁網友群情和轉發。

 

 

2012年10月30日,360平安閱讀器產物總監陶偉華對此信作出回應weibo《欲加之罪,何患無辭》,責備 @自力查詢拜訪員 就是為百度爭光360閱讀器 。11月3日@自力查詢拜訪員 回信陶偉華,稱其回應為 史上最爛的 專門研究回應 ,並稱 最要害的環節是,360平安閱讀器有後門,後門法式是ExtSmartWiz.dll,360可以在5分鐘內同一把持一切用戶電腦,隨心所欲。

 

 

2012年11月5日,@自力查詢拜訪員 經由過程錄像演示方法頒布《360平安閱讀器暗設後門》錄像證據。

 

 

二、檢測目標

 

本檢測陳述的目標是為瞭從平易近間自力第三方態度,力圖客不雅、迷信地回應關乎寬大internet用戶權益和internet平安財產信用的爭議熱門題目,是基於新浪weibo用戶 @自力查詢拜訪員 所發weibo《公然告發奇虎360公司 致工信部營業註冊地址、公安部公然信》中所描寫內在的事務及測試方式做復現式的二次檢測,旨在測試其公然信中所描寫360閱讀器存在 後門法式 的證據內在的事務、檢測景象、檢測手腕能否正確、真正的、不成狡賴,以評價告發信中所揣度的360平安閱讀器能否確有存在隱藏 後門法式 題目,以及該題目要挾通俗用戶信息平安及體系平安的結論的可托水平,為當局相干主管部分、威望檢測部分、internet平安業界與平安喜好者的評判供給參考。

 

三、檢測目的軟件

 

360平安閱讀器:

 

版本:v5.0.8.7

 

MD5:C9F83C447966502B8B937F534F59E5DD

 

下載地址:http://down.360safe.com/se/360se_5.0_20121025.exe

 

四、檢測周遭的狀況及東西

 

虛擬機周遭的狀況:

 

VMware Workstation 版本:8.0.4 build-744019

 

下載頁面:http://kuai.xunlei.com/d/RPCHAVOILEVW

 

操縱體系:Windows XP Professional SP3

 

檢測東西:文件監測東西:Filemon

 

過程監測東西:procexp

 

收集抓包東西:SocketSniff

 

反編譯東西: OllyICE

 

PE檢查東西: LoadPE

 

資本檢查東西:Restorator 2007

 

五、360平安閱讀器 後門法式 檢測經過歷程

 

依據@自力查詢拜訪員 所發公然信中描寫,360平安閱讀器裝置途徑中的ExtSmartWiz.dll文件為後門法式,在此將經由過程對該法式感化及行動檢測、監商業登記地址測,以及360平安閱讀器v5.0.8.7文件操縱行動和收集通訊數據監測證明ExtSmartWiz.dll能否存外行為可疑。

 

1、檢測體系周遭的狀況預備

 

為防止其他軟件或法式幹擾此次檢測成果,故封閉或卸載非檢測所用軟件,體系周遭的狀況中法式履行情形如圖所示:

 

 

圖1

 

2、ExtSmartWiz.dll文件感化檢測

 

初始裝置終了360平安閱讀器v5.0.8.7並運轉,在 360擴大中間 中 我的擴大 部門可以看到360默許裝置的擴大利用(圖2)。依據@自力查詢拜訪員 公然信描寫,擴大利用在Windows XP體系的裝置地位在%AppData%360seApps,備份該途徑下AppsLocal.ver文件,依據文件稱號及其內在的事務可揣度該文件為當地用戶閱讀器部門擴大利用類型、版本及對應辦事器下載地址。

 

在 我的擴大 中刪除一切擴大利用,從頭翻開AppsLocal.ver文件,文件中隻有ExtSmartWiz.dll設置裝備擺設信息(圖3),與備份的AppsLocal.ver文件做對照,可見ExtSmartWiz.dll並非360平安閱讀器擴大利用。

 

 

圖2

 

 

圖3

 

3、360平安閱讀器文件操縱監測

 

運轉文件監測軟件Filemon,然後運轉360平安閱讀器v5.0.8.7。為削減非360平安閱讀器過程的文件監測記載幹擾,在Filemon軟件中設置文件監測過濾前提為包括有 360 的文件操縱記載(圖4)。

 

 

圖4

 

本次監測以檢測當日的22時00分為肇端監測時光,在無任何用戶操縱情形下,文件監測法式的文件操縱記載如下圖所示:

 

 

圖5

 

由圖5可以看出,360平安閱讀器v5.0.8.7在無任何用戶操縱周遭的狀況下會先讀取%AppData%途徑下360seextensionsLoginEnrolpushInfosetting.ini文件,然後讀取360seextensionsLoginEnrolpushInfopic26文件。

 

在監測時光內(22點00分至22點10分),360平安閱讀器v5.0.8.7每分鐘內均有讀取sett地址出租ing公司登記地址.ini文件及讀取文件名為26的行動記載。

 

 

圖6

 

 

圖7

 

在此次文件操縱行動監測中,360平安閱讀器v5.0.8.7在無任何用戶操縱周遭的狀況下會在%Temp%途徑下創立並寫進姑且文件STB9.tmp,鉅細為9080字節,並在讀取後刪除該姑且文件(圖6、圖7)。

 

在監測時光段內(22點00分至22點10分),360平安閱讀器v5.0.營業登記8.7分辨在22點04分及22點09分停止瞭創立、寫進、讀取姑且文件,及刪除該姑且文件操縱。此中22點04分創立的姑且文件名為STB9.工商登記tmp,22點09分創立的姑且文件名為STBA.tmp。

 

由此證明@自力查詢拜訪員 公然信所描寫:每五分鐘360平安閱讀器會天生以 STB 為前綴的姑且文件。

&n商業登記bsp;

4、360平安閱讀器收集抓包監測

 

為防止360雲平安打算的收集通信幹擾本次抓包監測,設置360平安閱讀器v5.0.8.7撤消餐與加入 用戶體驗改良打算 ,並封閉平安中間可以封閉的平安效能(圖8)。此中無法封閉的 下載雲平安 及 網銀雲平安 ,在360平安閱讀器平安效能體驗頁面(http://se.360.cn/v5/laboratory.htm)中先容為鄙人載時及應用網銀時方有用的平安效能,此次抓包監測經過歷程中360平安閱讀器頁面均為常用網址se:blank,是以不會有下載操縱及網銀頁面翻開操縱。

 

 

圖8

 

運轉收集抓包東西SocketSniff,並設置該東西收集監測過程為360平安閱讀器過程360SE.exe。

 

此次收集抓包監測開端時光監測當日22點28分,停止時光為22點43分,抓包時長為15分鐘。抓包記載如下圖所示:

工商登記地址

公司地址 

 

圖9

 

由圖9可看出,15分鐘內均勻每五分鐘360平安閱讀器v5.0.8.7會向IP:202.185.251.120懇求數據包,並接受數據包。

 

以下為第三次抓包中抓取的部門數據,從抓取的通信數據中可以看出:

 

①懇求文件為目的IP辦事器上cloud途徑下的cset18.ini文件,目的IP對應主機域名為se.360.cn。由此,依據目的辦事器域名及文件途徑,可經由過程http://se.360.cn/cloud/cset18.ini下載360平安閱讀器v5.0.8.7所懇求的文件。

 

②獲取文件鉅細為9080字節,最初修正時光為2012年10月18日,依據抓包數據內在的事務可初步判斷所獲取的文件類型為PE文件,而非文件懇求記載中的ini文件類型。由此證明@自力查詢拜訪員 公然信中關於該下載文件文件類型的描寫: 新的唆使假裝稱Ini(純文本文件類型)收回,現實上是Dll文件(Windows可履行法式庫或資本庫) 。

&nbsp營業註冊地址;

發送: 成果代碼:0x00000000

 

GET /cloud/cset18.ini HTTP/1.1

 

Accept: */*

 

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

 

Content-Type: multipart/form-data; boundary=—————————–7dc9b950967ee8

 

Host: se.360.cn

 

Cache-Control: no-cache

 

接受: 成果代碼:0x00000000

 

HTTP/1.0 200 OK

 

Server: nginx/1.0.9

 

Date: Sun, 04 Nov 2012 14:41:08 GMT

 

Content-Type: application/octet-stream

 

Content-Length: 9080

 

Last-Modified: Thu, 18 Oct 2012 06:19:51 GMT

 

Expires: Sun, 04 Nov 2012 14:46:08 GMT

 

Cache-Control: max-age=300

 

Accept-Ranges: bytes

 

Age: 100

 

Powered-By-ChinaCache: HIT from 060010D3B7

 

Connection: close

 

接受: 成果代碼:0x00000000

 

00000000 4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00 MZ…………..

 

00000010 B8 00 00 00 0營業登記地址0 00 00 00 40 00 00 00 00 00 00 00 ……..@…….

 

00000020 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 …………….

 

00000030 00 00 00 00 00 00 00 00 00 00 00 00 C0 00 00 00 …………….

 

00000040 0E 1F BA 0E 00 B4 09 CD 21 B8 01 4C CD 21 5公司地址4 68 ……..!..L.!Th

 

00000050 69 73 20 70 72 6F 67 72 61 6D 20 63 61 6E 6E 6F is program canno

 

000000公司登記60 74 20 62 65 20 72 75 6E 20 69 6E 20 44 4F 53 20 t be run in DOS

 

00000070 6D 6F 64 65 2E 0D 0D 0A 24 00 00 00 00 00 00 00 mode….$…….

 

00000080 5F EF 1F DB 1B 8E 71 88 1B 8E 71 88 1B 8E 71 88 _…..q…q…q.

 

00000090 2D A8 7A 88 1A 8E 71 88 DC 88 77 88 1A 8E 71 88 -.z…q…w…q.

 

000000A0 52 69 63 68 1B 8E 71 88 00 00 00 00 00 00 00 00 Rich..q………

 

000000B0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 …………….

 

000000C0 50 45 00 00 4C 01 02 00 C8 6D 41 50 00 00 00 00 PE..L….mAP….

 

000000D0 00 00 00 00 E0 00 0E 21 0B 01 06 00 00 00 00 00 …….!……..

 

000000E0 00 0A 00 00 00 00 00 00 00 00 00 00 00 10 00 00 …………….

 

000000F0 00 10 00 00 00 00 00 10 00 10 00 00 00 02 00 00 …………….

 

00000100 04 00 00 00 00 00 00 00 04 00 00 00 00 00 00 00 …………….

 

0000公司註冊0110 00 30 00 00 00 04 00 00 D1 7A 00 00 02 00 00 00 .0…….z……

 

00000120 00 00 10 00 00 10 00 00 00 00 10 00 00 10 00 00 …………….

 

00000130 00 00 00 00 10 00 00 00 00 00 00 00 00 00 00 00 …………….

 

00000140 00 00 00 00 00 00 00 00 00 10 00 00 80 06 00 00 …………….

 

00000150 00 00 00 00 00 00 00 00 00 0E 00 00 78 15 00 00 …………x…

 

5、IE閱讀器抓包對照監測

 

由360平安閱讀器官網(http://se.360.cn/)先容可知,360平安閱讀器應用IE8內核,為證明IE內核閱讀器主動懇求和接受數據能否為IE內核所致,本次監測應用IE閱讀器(版本8.0.6001.18702)做對照抓包監測。監測開端時光為監測當日22點55分,監測停止時光為23點10分,監測時長15分鐘。

 

 

圖10

 

如上圖所示,在監測時光段內,IE閱讀器並未懇求或接受任何數據包,由此證明,作為IE8內核閱讀器,360平安閱讀器v5.0.8.7主動懇求及接受數據包行動並非由IE內核所致。

 

6、ExtSmartWiz.dll文件反編譯檢測

 

為證明ExtSmartWiz.dll確切為360平安閱讀器所挪用,運轉過程監測東西procexp,查找ExtSmartWiz.dll。查找成果如下圖:

 

 

圖11

 

在@自力查詢拜訪員 公然信中,經由過程對360平安閱讀器途徑下的ExtSmartWiz.dll反編譯懂得該文件外部流程。在此應用OllyICE東西對ExtSmartWiz.dll異樣做反編譯,將成果與公然信中所描寫反編譯內在的事務做對照,以檢測@自力查詢拜訪員 對該文件的反編譯描寫能否失實。

 

a、按時器設置代碼檢測

 

 

圖12

 

 

圖13

 

依據圖12所示,在設置按時器時光為493E0(30000毫秒)後挪用文件地址100BB970處函數,該函數內在的事務如圖13所示,並在此中挪用SetTimer函數設置按時器。

 

b、辦事器懇求指令代碼檢測

 

 

圖14

 

如圖14所示,在文件地址100C2D90處函數中設立公司挪用InternetOpenW函數發送域名懇求。

 

c、履行法式指令代碼檢測

 

 

圖15

 

如圖15所示,在文件地址100B8970處函數中挪用LoadLibraryW函數加載DLL文件,並在加載DLL文件後查找和鎖定DLL文件中的資本,即讀取DLL文件中資本。

 

依據以上代碼檢測,如@自力查詢拜訪員 公然信中所描寫,ExtSmartWiz.dll文件中確切存在設定按時器、請求辦事器文件及加載下載後的辦事器文件代碼。

 

6、 後門法式 文件檢測

 

a、STB*.tmp文件資本剖析

 

為確認長途辦事器懇求及下載DLL文件效能由ExtSmartWiz.dll供給,將該文件備份後刪除,經由過程文件監測及抓包監測,並未監測光臨時文件創立及接受懇求文件抓包記載。由此證明該文件效能中包括向辦事器懇求和接受數據包。

 

因為ExtSmartWiz.dll在公司地址懇求獲取辦事器文件挪用後會刪除下載文件,是以設置下載目次Temp用戶權限為謝絕刪除(圖16)。

 

 

圖16

&註冊公司nbsp;

在360平安閱讀器運轉情形劣等待五分鐘擺佈,獲取辦事器下載文件STB7C.tmp,為便利檢測,將該文件復制至桌面。應用LoadPE東西翻開該文件,選擇檢查特征值(圖17),可知該文件現實文件類型為.dll。檢查文件目次表,該文件無輸出表、輸入表,為純資本DLL文件,其包括RCDATA類型資本和自界說資本類型為2110的INI資本(圖18)。

 

 

圖17

 

 

圖18

 

依據STB7C.tmp文件現實文件類型,修正該文件文件名為STB7C.dll,檢查該文件屬性可知其文件描寫為 360平安閱讀器 平安網銀 ,產物稱號為DataDll(圖19)。

 

 

圖19

 

運轉Restorator 2007翻開STBC7.dll文件,檢查2110資本類型下的INI資本內在的事務,其內在的事務以BASE64方法編碼(圖20)。

 

 

圖20

 

翻開在線BASE64解碼頁面http://www.mxcz.net/,將STBC7.dll文件中INI資本的編碼做BASE64解碼(圖21)。

 

 

圖21

 

以上BASE64解碼成果如下:

 

[st]

公司登記

 

count=2

 

[st1]

 

id=1

 

url=http://www.baidu.com/search/ressafe.html*

 

[st2]工商登記地址

 

id=2

 

url=http://verify.baidu.com/vcode?*

 

[traymsg]

 

staticsid=31

 

count = 1

 

url1=http://www.baidu.com/search/ressafe.html*

 

[ma登記地址in]

 

hkres2=1

營業地址 

cbc=1

 

[cbc]

 

urlcount=1

 

url1=http://www.baidu.com/search/ressafe.html*

 

cbccount=2

 

c1=BAIDUID

 

c2=BDUSS

 

由此可知,ExtSmartWiz.dll從360辦事器(域名:se.360.cn)懇求獲取的DLL文件本身不具有要挾體系平安或用戶信息平安的效能,但具有設置裝備擺設文件資本,其內在的事務是以搜刮引擎百度為相干的設置裝備擺設信息,且與DLL文件文件描寫不相合適。依據後面ExtSmartWiz.dll反編譯內在的事務可知,ExtSmartWiz.dll加載該文件後的操縱是讀取其資本,經由過程所讀取的資本文件,360平安閱讀器可依據設置裝備擺設信息履行響應操設立公司縱。

 

b、ExtSmartWiz.dll文件輸出表剖析

 

持續應用LoadPE加載ExtSmartWiz.dll文件,檢查輸出表中API接口挪用列表(圖22-圖25),經由過程檢查輸出表API函數可知該法式能夠存在的效能包含:利用法式行動攔阻/暗藏、創立線程、刪除文件、過程及過程模塊檢索、操縱註冊表及創立鉤子等。

 

 

圖22

 

&n登記地址bsp;

圖23

 

 

圖24

 

 

圖25

 

六、360平安閱讀器 後門法式 檢測成果

 

依據以上檢測成果,360平安閱讀器v5.0.8.7的ExtSmartWiz.dll文件的屬性、行動及反編譯內在的事務與@自力查詢拜訪員 公然信中描寫基礎分歧。經由過程360平安閱讀器挪用,該文件在用戶不知情情形下按時從360辦事器下載DLL文件並做加載操縱,且無明白的文件應用及感化講明或闡明。

 

依據360公司所宣佈的《360用戶隱私維護白皮書》(http://www.360.cn/privacy/v2/360anquanliulanqi.html)中 360平安閱讀器隱私維護闡明 部門的描寫(如下截圖):

 

在此次檢測的抓包監測中,封閉360平安中間可以封閉的效能,包含網址雲平安、市場行銷雲攔阻、第二代防假逝世、沙箱維護,在未停止任何閱讀器操縱情形下,依然可以抓取到ExtSmartWiz.dll懇求辦事器文件及下載辦事器文件記載(圖26)。由此闡明ExtSmartWiz.dll的數據懇求及接受並未包括在《360用戶隱私維護白皮書》中 360平安閱讀器的隱私維護闡明 中。

 

 

圖26

 

《360閱讀器裝置允許協定》(http://www.360.cn/xukexieyi.html)的4.9條 隱私權維護 部門(如下截圖)包括在《360用戶隱私維護白皮書》的 360平安閱讀器的隱私維護闡明 部門中,是以360平安閱讀器的ExtSmartWiz.dll文件行動特征亦未遵照《360閱讀器裝置允許協定》。

 

 

 

七、附錄一

登記地址 

1、公然信與本陳述檢測項對照

 

依據@自力查詢拜訪員 公然信中對360平安閱讀器裝置途徑下文件ExtSmartWiz.dll檢測項,及IDF試驗室對該文件的檢測項做如下對照:

 

 

檢測對照表( :有; :無)

 

2、《公然告發奇虎360公司 致工信部、公安部公然信》

 

原文起源於@自力查詢拜訪員 新浪博客博文(http://blog.sina.com.cn/s/blog_ad048dc101017amd.html),原文中的談吐不代表IDF試驗室不雅點。

 

 

 

營業註冊地址

 

 

 

八、附錄二

 

1、修訂信息

 

 

2、稱謝

 

在本陳述撰寫經過歷程中獲得瞭來自平安行業的多位技巧職員、平安專傢及參謀的評審和參考看法,基於他們的看法和提出方使得本陳述得以不竭修訂、完美。

 

在此感激@做個大好人、@lylspector、@渥村萬濤、@黑客老鷹在本陳述技巧檢測、撰寫及修訂經過歷程供給的看法、提出及輔助。