国外安全公司Minerva Labs 发文介绍了他们的调查 Flash 中文版。
据报道,过去几个月,Minerva Labs 收到多个报警,报警显示一个叫 FlashHelperService.exe 的可执行文件可能有恶意代码。因此,他们决定调查二进制文件,以确定它是误报还是真正的恶意软件。
Minerva Labs 指出二进制文件的签名来自“Zhong Cheng Network”,“Zhong Cheng Network”即重橙 *** 科技有限公司,它是 Adobe 公司在中国的战略合作伙伴全权负责 Adobe Flash Player 在中国的发行和运营。
Adobe 2020年12月31日后停止更新和分发 Flash,此后,国内 *** 商重橙网宣布为中国推出 Adobe Flash Player, 2020年后将继续负责 Flash 在中国的独家官方发行Flash 中国版提供支持,包括最新版本的下载、运营和技术维护。
Minerva Labs 从 flash.cn 下载了 Flash 调查。经过二进制分析和逆向工程,他们发现 Flash除了安装 Flash 此外,它还将下载和运行名称 nt.dll 二进制文件将加载到 FlashHelperService 在设定的时间内打开弹出窗。
Minerva Labs 继续调查其有效负载后,发现该文件的最终意图与广告程序相似,并存在令人担忧的威胁。原因是该文件包含一个通用的二进制分发框架,可以被攻击者用来加载恶意代码,从而有效地绕过传统的 AV 磁盘签名检查。而且许多企业都会安装 Flash,若真恶意使用,后果不堪设想。
本文转自OSCHINA
本文标题:Flash 中国版安装广告程序,暴露出严重的安全问题
本文地址:https://www.oschina.net/news/131204/the-curious-case-of-flashhelperservice