國(guó)外安全公司 Minerva Labs 發(fā)文介紹了他們調(diào)查 Flash 中國(guó)版的情況。

據(jù)介紹，在過(guò)去的幾個(gè)月里，Minerva Labs 收到多個(gè)警報(bào)，警報(bào)顯示一個(gè)名為 FlashHelperService.exe 的可執(zhí)行文件可能存在惡意代碼。為此他們決定對(duì)這個(gè)二進(jìn)制文件進(jìn)行調(diào)查，以確定這是誤報(bào)還是真正的惡意軟件。

[[383833]]

Minerva Labs 指出這個(gè)二進(jìn)制文件的簽名來(lái)自“Zhong Cheng Network”，“Zhong Cheng Network”即重橙網(wǎng)絡(luò)科技有限公司，它是 Adobe 公司在中國(guó)的戰(zhàn)略合作伙伴，全權(quán)負(fù)責(zé) Adobe Flash Player 在中國(guó)的發(fā)行與運(yùn)營(yíng)。

Adobe 在2020年12月31日之后停止更新和分發(fā) Flash，此后國(guó)內(nèi)代理商重橙網(wǎng)絡(luò)宣布推出面向中國(guó)地區(qū)提供的 Adobe Flash Player，并表示會(huì)在 2020 年后繼續(xù)負(fù)責(zé) Flash 在中國(guó)的獨(dú)家官方發(fā)行工作，對(duì) Flash 中國(guó)版提供支持，包括最新版本的下載、運(yùn)營(yíng)與技術(shù)維護(hù)等服務(wù)。

Minerva Labs 從 flash.cn 下載了 Flash 以進(jìn)行調(diào)查。在經(jīng)過(guò)二進(jìn)制分析和逆向工程后，他們發(fā)現(xiàn) Flash 中國(guó)版除了安裝 Flash 之外還會(huì)下載和運(yùn)行名叫 nt.dll 的二進(jìn)制文件，該二進(jìn)制文件會(huì)加載到 FlashHelperService 中，并在設(shè)定好的時(shí)間打開(kāi)彈出窗口。

Minerva Labs 繼續(xù)調(diào)查其有效負(fù)載后，發(fā)現(xiàn)此文件的最終意圖類(lèi)似廣告程序，并且存在令人擔(dān)憂的威脅，原因是此文件包含通用的二進(jìn)制分發(fā)框架可被攻擊者用于加載惡意代碼，從而有效繞過(guò)傳統(tǒng)的 AV 磁盤(pán)簽名檢查。而且許多企業(yè)都會(huì)安裝 Flash，如果真的被惡意利用，后果不堪設(shè)想。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：Flash 中國(guó)版會(huì)安裝廣告程序，被曝存在嚴(yán)重安全問(wèn)題

本文地址：https://www.oschina.net/news/131204/the-curious-case-of-flashhelperservice