对于广告,更准确的说是数字广告,相信每一位网友都不可避免地遭受过他们的“轰炸”。作为整个互联网行业中最为核心的变现模式,数字广告支撑起了Google、Facebook、百度、腾讯等一系列的互联网巨头的万亿市值,而以广告为表现形式的流量生意,也几乎成为了当下这个行业存在的基石。
但是广告虽然是是目前流量变现的最佳形式之一,但客观上其同时也是伤害用户体验的一种行为,君不见“永远不加广告”如今俨然已经成为了哔哩哔哩的“紧箍咒”。而在互联网行业漫长的发展历程中,互联网企业与用户之间关于广告也形成了一种动态的平衡,如何在用户忍耐限度之上加广告,也成为了绝大多数互联网企业的必修课。
然而你有见过将自家广告伪装成病毒的吗?近日,据以色列知名网络安全公司MinervaLabs发布的公告显示,他们的研究团队在过去一段时间中收到了大量关于“FlashHelperService.exe”可执行文件的恶意代码警报。而被誉为全球最大安全情报中心的思科旗下TalosIntelligence,更是已经将FlashHelperService.exe列为年1月最为常见的威胁之一。
看到“FlashHelperService.exe”,许多国内网友或许并不会感到陌生,这其实是中国特供版FlashPlayer的特色功能,而这款FlashPlayer则是由Adobe中国战略合作伙伴重橙网络提供的签名。之所以来自思科和MinervaLabs的安全研究人员会将这款FlashPlayer中的一项功能认定为恶意程序,套用一句美国谚语来解释,就是如果一个程序看起来像病毒,结构像病毒,特征像病毒,那么它就是病毒。
根据MinervaLabs方面的说法,他们的安全研究人员解包了这款FlashPlayer,发现其中FlashHelperService的二进制文件中包含了一个名为ServiceMemTask.dll的嵌入式dll文件,其能够访问flash.cn网站、能够下载文件、可以从网站上下载加密的dll文件,以及解密和加载,并且解密的二进制文件中存在许多分析工具的明文名称,还能够对用户的操作系统进行概要分析,和将这些结果回传至服务器端。
经过进一步的逆向工程,研究人员发现该程序能够通过硬编码的方式输出一个有问题的文件。而在解密了这个文件后,重橙网络最终的目的也显露了出来,这个经过层层包装且保护嫌疑代码的FlashHelperService其实只有一个效果,就是根据时间戳在预定的时间内在电脑上打开一个弹窗。
为什么会说这样的行为很像病毒呢?提及计算机病毒,相信很多朋友的记忆还停留在例如“千年虫病毒”、“熊猫烧香”、“冲击波”等,以破坏性、高传染性著称的病毒身上,但这类“旧时代”的病毒其实许多都是黑客炫技的产物。随着时代的发展与技术的进步,如今计算机病毒之所以越来越不常见,一方面是因为网络安全技术的发展,另一方面则是因为如今黑客基本都是以求财为主,所以病毒所追求的是隐蔽性,故而现在的病毒作者基本上都会利用加壳等技术给病毒“穿马甲”,制造出杀毒软件无法识别出来的病毒。
所谓加壳,就是通过一系列数学运算,将可执行程序文件或动态链接库文件的编码进行改变,防止程序被反汇编分析或者动态分析破解。而FlashHelperService.exe这种被加壳,同时又兼具信息收集能力的程序,自然就在完全研究人员的眼中很有嫌疑。
将广告包装成病毒的样子来进行传播,无疑是一件非常滑稽的事情,但有业内人士认为,这款软件的开发者重橙网络可能也是“不得已而为之”,因为FlashHelperService在用户群体中的口碑实在是已经糟到不能更糟了。
从年开始,Adobe实际上已经停止实质性维护和更新有着悠久历史的Flash,并且在可靠性、安全性、性能、功耗等指标上全面落后于HTML5的情况下,Flash也早已被绝大多数平台淘汰。然而重橙网络是在Adobe宣布放弃Flash的一年后(也就是年)宣布与后者达成合作协议的,换句话来说就是,重橙网络当时是明知Flash会被放弃,而这背后所代表的,显然是其为了通过Flash挣最后一轮钱。
在全世界几乎都放弃了Flash的情况下,重橙网络这样的吃相自然就显得很难看了,但毕竟留给他们的时间已经不多,所以这才有了此次被看作病毒的“FlashHelperService”。事实上,FlashHelperService简单来说是重橙网络为中国版FlashPlayer额外添加的一项功能,除了负责为FlashPlayer提供定期的更新推送外,其最为核心的功能就是不定期向用户推送信息或软件,也就是让广大用户不堪其扰的弹窗广告“FF新鲜事”。
面对这一安装时就默认开启消息推送的功能,并且还不能主动取消的情况,用户自然是很不爽的。目前在搜索引擎上以“FlashHelperService.exe”为关键词,最终呈现出来的结果基本都是如何解决弹窗这类教程,由此也足以见这一功能有多么的不受用户待见。
但得益于目前为数众多的弹窗拦截软件,声名狼藉的“FF新鲜事”其实是很容易被拦截的,可这无疑会与重橙网络所希望打造的个性化内容推荐体系相违背。所以他们就需要通过某种手段来实现以预定时间戳来打开弹窗的效果,因此注重隐蔽性的计算机病毒就走入了重橙网络的视线中,并通过加壳技术层层包装让FlashHelperService在广告拦截工具面前变得“人畜无害”,这就是为什么很多用户会反映大多数广告拦截程序对于这玩意没作用的原因所在了。
以设计病毒的方式来设计广告,或许只能说明一件事,就是在Flash已经退出历史舞台的情况下,持有Flash国内市场版权的重橙网络只能用这种方式,来最大限度的榨干其剩余价值,所以才搞了这么一出乌龙。
对于用户来说,在Flash已经被淘汰的情况下,如果实在还有继续使用FlashPlayer插件,但又不想被其中国版骚扰的话,火狐浏览器的延长支持版或许可以满足你的需求,对于Chrome内核浏览器的用户,则可以使用名为Ruffle的插件来模拟Flash。但无论如何,已经被安全研究人员认为是利用了病毒相关技术的中国版FlashPlayer,谁会知道下一次它是不是真的会带有病毒呢。