2013年8月迅雷病毒事件

(本文由知乎 @陈彪 整理)

以下为雷锋网 2013 年 8 月 1 日文章(目前已被删除),摘自谷歌缓存:

《迅雷惊现“掘雷者” 高层包庇共谋私利》

继京东商城那位叫吴声的同志首创了“食京者”后,迅雷也出现了“掘雷者”。近日,迅雷看看就有高层利用职务之便对看看的用户进行了病毒般的强制插入,捆绑了众多软件,行为极其恶劣,已构成了职业犯罪。但可笑的是,这个事在迅雷内部竟然没起任何波澜。

不知道是公司反应慢,还是这些人只手遮天的能力实在太强。不多说了,看下边内容。(编者注:以下内容为迅雷内部针对此事的内部邮件)

  • 邮件一

这封邮件是工作人员在收到迅雷看看的用户反馈,分析后发送邮件抄送迅雷各大高管以及迅雷看看高管,认为此事件是给用户安插病毒,给个别人谋取私利。

昨天接到用户反馈,发现一个位于 C:\Windows\System32 目录下,名为 “INPEnhSvc.exe” 带有迅雷数字签名的文件。(见附件INPEnhSvc.exe)

我们从用户机器上将此文件取回,经技术人员逆向分析,发现该文件有病毒行为。

“INPEnhSvc.exe” 是一个服务,加 /regserver 参数可注册启动。

启动后有3次服务器连接,访问2个域名分别为:
http://conf.kklm.n0808.com (下发配置文件)
http://kkyouxi.stat.kankan.com
http://n0808.com 中拉取2个配置文件。(见附件1 2 3.txt)

  1. txt 配置了程序行为,检测到 “ taskmgr.exe | tasklist.exe | procexp.exe | procmon.exe | devenv.exe | windbg.exe | filemon.exe|ollyice.exe | ollydbg.exe | processspy.exe | spyxx.exe | cv.exe | wireshark.exe ” 等分析工具会自动退出,防止被发现。
  1. txt 配置了如下 apk,满足某些条件,该程序会后台下载安装 adb(安卓手机驱动),并将如下 APK 自动安装到连接至当前计算机的手机上。
    http://down4.game.uc.cn/wm/4/4/JYqpdtV2.0.0.38_ddz_Android_Build20130624_48004_1538390bd246.apk (九游棋牌大厅)
    http://dl.sj.91.com/business/91soft/91assistant_Andphone_lite134.apk (91手机助手)
    http://shouji.360tpcdn.com/360sj/adm/apk/20130709/com.qihoo.appstore_199801_143149.apk (360手机助手)
    http://wap.uuwldh.com/down/1263/uuwldh_1263.apk (UU网络电话)
    http://down.gfan.com/gfan/product/a/gfanmobile/beta/GfanMobile_web414.apk (机锋应用市场)

程序内还有”设置IE首页、创建桌面快捷方式、添加IE收藏夹“等行为,都由 2.txt 这个配置文件配置。

外界已经有人注意到该文件,我们昨天已经排除文件通过迅雷7客户端部署的可能性,但由于带有迅雷数字签名,会导致用户迁怒于迅雷7,将迅雷7卸载。

  • 邮件二

这封邮件是迅雷开发部门一位高管非常愤怒,将此邮件上升了高度,并认为有人在利用职务之便进行商业犯罪,要求彻查此事。

发现带有迅雷数字签名的未知文件,经分析有病毒行为我和我的小伙伴们都惊呆了!!代表迅雷的一名开发人员表示震惊和愤怒!!!!

从该exe的特征和行为来看,属于典型的后门软件和病毒,并且使用类似云指令的技术来强制后台推送用户不需要的东西,来达到不可告人的目的,堂堂迅雷竟然能出现如此无耻下流的软件,若被杀毒软件拦截列入黑名单,后果不堪设想,迅雷长期积累的信誉将毁于一旦!迅雷公司的数字签名也可能陷入万劫不复的境地,祸及公司广大的产品包括迅雷7、xmp以及BOLT引擎等等众多产品和模块,不能不让人震惊!

该软件带有迅雷数字签名,只有两种情况,一种是泄露数字签名导致,一种是内部员工和团伙所为。从规模来看,涉及到客户端开发(并且具有一定的反逆向保护)、外网服务器,云指令推送,服务器管理后台等技术,并且使用了http://kankan.com 的域名,推送apk肯定还涉及商业利益链包括揽活、销赃等,所以可以确定内部团伙作案的可能性非常大,凭一己之力很难做到这么大规模,并且外网高手即使有数字签名,也不大可同时控制http://kankan.com 下的域名。

客户端样本我也拿到一份,不得不说可笑,只凭此鸡鸣狗盗的雕虫小技就想鱼目混珠,瞒天过海?置迅雷的广大开发人员于何处?后台自动下载apk强制安装,众所周知当前手机应用推广的利润率惊人,单次安装激活就有1元到数元,所以这个软件究竟在发现之时已经散步到多大市场?后面的灰色利益链又是如何?幕后黑手又是谁?

从google搜索结果来看,外网已经有众多用户反馈和抱怨,从反馈用户的ip来看,多是出于二三线小城市,真是用心良苦!!!如果是内部员工所为,那么作为迅雷的开发人员,以权谋私,利用公司的渠道尤其是下载部的迅雷7来满足私欲,为所欲为,不计后果,缺乏最基本的职业素质,令人不齿!

恳请公司彻查此事,给所有开发人员一个交代:

1.请专业杀毒软件公司比如金山来分析病毒样本,出具病毒分析报告

2.从http://kkyouxi.stat.kankan.com 域名出发,顺藤摸瓜找出作案人

3.发掘该病毒的利益链条,找出幕后黑手

4.严格控制数字签名,采用更安全的机制来控制签名流程,保证所有被签名文件可回溯,杜绝可能的数字签名泄露

  • 邮件三

这封邮件是迅雷看看先是找了某中层出来顶罪,并找各种理由来搪塞。

首先先给大家道歉一下,此次事故是近期我们推出的OFFICE插件的产品BUG所导致的问题,INPEnhSvc.exe是Office插件系统的守护程序,负责拉取配置与上报统计;INPEnhUD.exe是自升级程序,负责拉取升级配置升级Office插件系统。但旧版本的升级程序有Bug,导致守护程序不存在时拉起会弹框报错,守护程序自身也有内存泄漏的问题,所以在25号发了一个自升级版本修复这两个问题,降低对用户的影响,目前产品还在持续完善中。

至于推送九游棋牌大厅、91手机助手、360手机助手、UU网络电话、机锋应用市场的事情,是之前经过F总审批用于置换对应平台广告位置,来推广无线看看APK之用。2013年我们设定的无线看看的日新增目标数量达  到15万每天,根据之前邮件中的价格1元到数元来看的话,那么一天就是15万元RMB起,一个月就是450万,一年就是5400万RMB。而公司给到的预算只有800万用于无线推广,目前还都用在了和品牌硬件厂商合作预装上面,如果不通过换量很难完成任务目标。同时,迅雷所有无线产品的量都非常小,很难实现等价兑换,无奈之下才破例采取插件推送的形式进行换量操作。

其中九游棋牌大厅为UC浏览器的产品,其他的就不用介绍了,通过帮他们推广手机端应用,他们来帮我们推广无线看看,达到换量的目的。从实际效果来看,我们帮他们带量的情况很不乐观,部分平台仅为他们帮我们带量的十分之一。下面是他们帮我们推广产品的截图,带量情况及推广的排期表(实际执行远大于这些排期),请大家查看!

最后,由于功能BUG给用户带来的问题,我们25号的升级版本已经解决,目前正在升级中,在此我们也深表歉意。但是仍然由衷希望大家在没调查好事实真相前,不要随意猜测,这样不仅影响内部团结,而且不利于解决已经发生和未来有可能会出现的问题,谢谢!

  • 邮件四

这封邮件是迅雷客户端一位高管对迅雷看看中层顶罪表示愤怒,并将该事危害程度拔高。

作为迅雷客户端的维护人员,无论是谁出于何种初衷通过何种手段部署了这个程序,从结果上来看,迅雷客户端的声誉已经首当其冲的受到了严重损害,已经成为用户怒而卸载迅雷的原因,已是我的职责所在,很关心这个事情的进展。

现在已经澄清了是业务团队为了更好的实现置换推广为之,并非严重的安全问题。本来可以藏的很好,不被用户,甚至自家的开发人员感知,只是因为出了内存泄漏的bug才被大家关注起来,把bug解了这事就解决了?能否定这是一种病毒行为?藏的再好,也怕用户找;杀毒软件现在没报,以后就不会报?现在反馈的少,以互联网的传播速度也许哪天就大爆炸。

及早被发现难道不是好事?迅雷平台有很多更加正常,更加优雅,更加对用户友好的的推广渠道,为何不考虑? 看一下这个程序的行为:带着迅雷的数字签名,以迅雷的名声作保,做的是静默下载并且安装App到用户手机,更改用户收藏夹之类的事情,加上一些反调试保护,无法停用无法删除。

这是严重伤害用户体验的活脱脱的病毒行为,不知情的开发人员看到这种程序的第一想法一定是“这是个病毒呀,迅雷不应该干这个,太伤名声了”,“谁为了啥干的”之类的猜测是非常正常的,为公司利益着想讨论问题细节并且希望彻查以儆效尤为先而作言,而不是为了所谓团结而沉默。

置换推广的策略是非常正确的,我想这也是领导审批通过的原因吧。但是执行手段是这样的病毒行为,和公司推行用户体验至上的原则是背道而驰的。

迅雷一丝一毫的用户体验改进都是各位同学殚精竭虑通宵达旦的辛苦付出得来的,迅雷一点一滴的用户口碑积累都是经年累月长期沉淀出来的,为了节省金钱和时间成本,采用这样的手段,对用户体验和迅雷口碑的伤害难道不是让公司付出了更大的成本?不是审毫毛小计而遗天下大数?岂非饮鸩止渴杀鸡取卵,涸泽而渔焚林而猎?

如果这样的行为被认可,必然有人趋之如骛,置公司的整体利益于何地,其他同学的劳动于何地?想到这个令人不寒而栗。

由衷希望以病毒形式来推广的做法立即停止,而不是改了bug继续来。 位微言轻,不吐不快。

  • 邮件五

这封邮件是迅雷看看某高管将此事定性为业绩压力太大所致。

此次事故来自业绩压力所为,初衷是为了推广公司的无线产品,执行方式虽是无奈之举,但是确实伤害了用户体验,目前已经全面停止,后续将不会出现类似的情况,避免给公司带来损失,后续还请大家多多监督。

  • 邮件六

这封邮件是迅雷看看大boss再度对此事开脱。

首先,作为看看的负责人,这次的事情给了我一个深刻的教训,侥幸心理不能存在,对待任何事情都要思考得更全面。

一方面,同意程浩的处罚规定,另一方面,看看开始就这次的事件建立起类似事情的流程,有监控的流程,相信至少很多误解不会存在。

这个在一到两周内会给到大家结果。

同时,从这次的邮件,我想提几个也许更深层次的问题:

  1. 业务部门的发展需要大家的帮助和支持,这次的事件就属于高压力高考核下又找不到解决途径后,憋出来的烂招,结果是大家都受到了连累。
    我希望能借此事件将看看这边的一些急需的帮助提出来,大家一起探讨。

所谓堵不如梳,有大家一起帮忙,相信类似事件从驱动力上就会小很多。

看到大家很激动的情绪,相信大家都很想为公司好,为用户好,那么大家就一起参与,不如我们从根上去解决问题?

  1. 欢迎大家提出意见和表达意见以及希望看到的结果,但是,还是希望大家不要乱猜测和猜疑,甚至匆忙间就把判定给下了,尤其是一些原则的问题上。

这是一封公开邮件,公开邮件有话语人,就有听众,属于媒体性很强的邮件表达方式。

在业务上推动用的方法不对是一回事,为自己谋私利是另外一件事情。两者最后的落点完全不一样。

希望以后大家在这样类似的邮件里注意这个点,不是说不允许大家说,而是一些很重要的判断,可以先弄明白再表达观点。

  1. 最后,想给大家说一说大家所不了解的看看一些情况。

看看的发展其实我想很多人不了解,我也知道看看最近在受到很多公司其他部门的质疑,有发展问题,有团队问题,有管理问题,有道德问题,有产品问题……

这里作为看看的负责人,我想也就此邮件为看看做一次简短的宣讲。

在优酷土豆既定好赛道的长跑里,我们是跟得最辛苦的一家视频穷公司

我们用最少的花费版权的钱,得到了跟每一家视频公司差不多的内容(除开对方有钱可以做独家,除开MMPA打死不卖给我们的内容)

我们用最少的市场费用现在做到了每天从外部给看看带量750万UV,这个上面我们是市场的第一名

我们用最少的人数在运营着视频门户的红海广告商业模式,一个从技术到产品到内容到市场到销售到编辑到成本控制都要面面俱到的商业模式。

我们用最低的薪资待遇团聚着一帮对迅雷对迅雷看看还有感情的弟兄们,在艰苦奋斗

……………………

这样的模式下,整个团队发挥出的就是以前继承下来的土匪精神和强烈的生存欲望。

这个相对应的,也造成了很多的不规范和给兄弟部门带来很大的困扰,

这一点,是以后看看要杜绝和规范起来的。请大家相信

尽管跟得困难,但是不意味着我们就一定要傻傻的跟随到底,看看在未来的一两年内,还是一个基础目标,活下去!

在活着的过程中,不断的寻找机会,给自己补血的同时看能不能找出属于自己的特殊赛道,这个是我最大的职责和责任。请大家相信,我能给大家一个满意的答案。

希望在这个过程里,还是能得到大家的帮助和谅解

最后,尽管大家的邮件里的质疑很尖锐,但是,至少有一点,对迅雷的感情从字里行间我能看到。

我刚生的女儿,在医院里,医生的态度稍微有点不负责的时候,我也是怒火中烧的,所以,对大家的心情我也非常理解。

所以,既然大家都把迅雷当做自己的孩子,真心的爱护和呵护,那我们不妨一起努力,寻找更好的方式来一起解决问题。

一直以来,迅雷看看也是迅雷的一部分.

我说几句:

  1. 我们看看业务面临非常大的压力,这点我能理解并感同身受,其实不光是看看,其他产品也有。
  1. 在有中国特色的商业伦理和“成功哲学”下,确实有些公司通过一些不规范的手段获得了巨大的商业利益,但是这不意味着我们应该效仿,我们总是有一条底线要坚守。
  1. 知错就改是好事,但是不足够,犯了错误就要付出一些代价。 我们没能在公司内部树立一个核心价值观,是我的问题,我自罚30%月薪。另外看看的管理层也一并做出处罚,总的罚金池要match我的。具体请anter了解清楚事情原委后分配。所有罚金由peter暂管,未来进入看看的团队建设费用。 请peter安排HR同事来具体follow up一下。

未完待续……不知道还会有什么样的人出来玩什么手段和说辞,如果有的话,我会持续更新。谢谢关注。

  • 结语

迅雷看看拥有几亿的用户,此事牵扯到的黑色利益链条到底有多少?但此事竟然将在迅雷看看内部不了了之。无人挨罚,无人顶罪,无人遭辞,无人隐退,长此以往,迅雷必亡。

Comments

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×