国内特供版Flash现形记
先说上一篇,暂且不论何同学本身如何,但饭圈那一套是真的不可取,求同存异才是我们该有的态度。
我以前写过一篇关于 Flash 的文章,是谁杀死了Flash?,上一年本就该是我们送别 Flash 的一年,而在国内,Flash 却凭着国内代理强行吊着一口气,不过这只是中国玩家噩梦的开始。
流氓的特供版Flash
之前那篇文章里写过,国内代理商是名声不好的重橙网络,不出意料的是,这个代理商非但没有解决 Flash 自身的一些毛病,反而变本加厉的收割着我们,搞出了不少骚操作。
这两年国内特供版 Flash 不仅用狂轰乱炸般的弹窗广告污染着我们的眼睛,还在悄咪咪的往里添了不少它的私货,一来二去,不仅浪费了额外的资源,还强行增加了耗电,这些严重影响用户的行为不过是重橙流氓行为的冰山一角。
重橙网络的流氓程度可能远超你的想象,它不仅在隐私声明中说「允许重橙网络搜集用户的信息」,还在声明的最后拒绝承担任何用户数据等受损时的责任,且声称已明确告知。
重橙网络代理下的 Flash,是 Adobe 打开的潘多拉魔盒。
层层包装仅为弹窗
其实如果说上面这些操作都是过去流氓软件的基操,被千百遍折磨的我们早已见怪不怪,习以为常,那么前段时间 Flash 特供版的流氓操作成功破圈,连带着重橙网络一起被国外玩家所熟知。
在 2 月 10 号,以色列的一家杀毒公司 Minerva Labs 曾发文称,中国特供版 Flash 引起了自家安全产品的多次警报。
为了探寻这些警报到底是误报,还是有恶意软件从中作梗,Minerva Labs 公司的研究员在 Flash.cn 下载了最新版本的 Flash,并对其二进制文件展开了研究。
研究的对象是一个名为「FlashHelperService.exe」的可执行文件,结果并没有让人失望,在这个可执行文件执行时调用的一个 DLL 文件(这是一种应用程序拓展,帮可执行文件额外执行一些功能)中发现了端倪。
名为「ServiceMemTask.dll」的拓展文件内嵌在上面那个可执行文件中,它额外提供了 Flash 本不该有的功能,比如访问官网,下载文件(尤其是下载加密的其他 DLL 文件,并自动解密后加载),分析当前操作系统,并传回服务器,除此之外还有许多暂未可知的用于分析的功能。
单看上面这个 DLL 文件的功能其实没什么不妥,但我们作为整个事件的旁观者,「ServiceMemTask.dll」文件的这些功能显得尤为可疑。
在安全研究员的进一步探索下,发现这个 DLL 文件会在某个网站下载一个名为「tt.eae」的加密文件到本地,然后解密解压后并加载执行。
在这个过程中,研究员为了判断这个下载加密文件最终加载执行的流程到底发生了什么,从 Flash.cn 上下载了有 Adobe 签名的 Flash 安装包,并逆向解析,最终发现上面这一切都是为了下载一个名为「nt.dll」的拓展文件。
而这个脑瘫(不是笔误) DLL 文件则会加载到 Flash 的进程中去,以定时的方式弹出窗口。
说到这估计大家都懂了,之前那个神通广大的 DLL 文件就是为了下载并启动一个参杂着各类垃圾广告的窗口,来实现添加私货赚广告钱的目的。
当时看到这我自己都笑了,爆出这个消息的以色列安全公司也懵了,原来重橙大费周折的弄了个如此「灵活」且复杂的框架,绕过层层障碍,竟是只为了给用户添加个弹窗广告。
不是乌龙更似乌龙,估计老外也小瞧了咱们国家的流氓软件直接竞争有多激烈,不过在 Minerva Labs 公司发文的最后指出,如果被有心人利用,上面提到的那个框架立马就变成绕过传统杀毒软件扫毒机制的工具,后果不堪设想。
总结
据说 Minerva Labs 公司的研究人员为了找到这个广告弹窗,整整花费了数月时间,发文的目的是为了提醒同样为此头疼的其他人,然后好几家安全公司将咱们特供版的 Flash 列入被广泛监测到的安全威胁。
话说回来国外的用户即使下载了特供版 Flash 也没办法正常用啊,会不会也有国外的老哥想着他国特供版的 Flash 会和我们很多国际版软件一样良心,想法设法的突破封锁,然后得到一个广告弹窗大礼包,意外翻车。
Flash 可能是一代人的回忆,但面对这种终将被淘汰的工具,如非必要,我还是希望它能老老实实的躺在棺材里,让它的取代者给它多钉几颗钉。
不过要我说真要探索这种广告弹窗,还得咱们的数字公司上,以恶治恶,方得始终。
这一篇到这里就结束了,我们有缘下篇再见。