最近這幾天“XCodeGhost”事件鬧得人心惶惶，如果你對“XCodeGhost”事件本身的來龍去脈不夠了解，推薦閱讀騰訊安全應(yīng)急響應(yīng)中心的文章《你以為這就是全部了?我們來告訴你完整的XCodeGhost事件》

而本文的重點是想澄清在“XCodeGhost”事件中，有關(guān)迅雷的種種“說法”。

說法1：“還是不能相信迅雷，我是把官網(wǎng)上的下載URL復(fù)制到迅雷里下載的，還是中招了”

這句話是烏云網(wǎng)原文《XCode編譯器里有鬼 – XCodeGhost樣本分析》當中，文章作者引用微博中“誰敢亂說話”的留言。這是整個事件中***聲稱“使用迅雷下載官網(wǎng)鏈接也會中招”的反饋。

我們在看到這條反饋時，***時間安排迅雷安全中心工程師對XCode6.4的官方鏈接進行下載測試，并對迅雷索引服務(wù)器上的記錄進行了交叉檢查。發(fā)現(xiàn)迅雷從未將官方鏈接的XCode6.4下錯為染毒的版本。而且染毒的XCode6.4文件比官方版本大了6.97MB，因此文件特征值不存在重復(fù)的可能。

在迅雷安全中心工程師完成測試及檢查后，我們看到“誰敢亂說話”博主已經(jīng)主動發(fā)布澄清《我澄清一下，復(fù)制官方的URL到迅雷里下載沒有問題，我記錯了》。雖然他先前的留言造成對迅雷的誤解，但是我們依然感謝他能主動澄清這件事。

說法2：“成功感染了迅雷的離線服務(wù)器，也就是說，你常用下載軟件是迅雷的話，輸入官網(wǎng)的地址下載下來的 dmg 仍然有可能是被修改過的。”

這個說法是在“說法1”的基礎(chǔ)上，經(jīng)過轉(zhuǎn)載及揣測被加工成了“迅雷離線服務(wù)器被感染”，但現(xiàn)在“說法1”已經(jīng)被澄清，而且迅雷早在“XCodeGhost”事件被曝光時，立即全面檢查了離線服務(wù)器中所有蘋果官方鏈接的Xcode文件，SHA1值均與蘋果官方版本保持一致。因此迅雷離線服務(wù)器沒有被感染。

說法3：這次XcodeGhost木馬病毒的泛濫有可能和迅雷有關(guān)，迅雷最初下載的Xcode就是被修改的程序，因此iOS開發(fā)者即使用官方地址然后在迅雷上下載，也會下載到帶有木馬病毒的Xcode。

該說法同樣為“說法1”的變種。根據(jù)我們查詢離線下載的任務(wù)記錄，染毒的XCode6.4版本(SHA1：a836d8fa0fce198e061b7b38b826178b44c053a8)。最早被迅雷會員用戶添加到離線下載中時，并非來自蘋果官方，而是來自某網(wǎng)盤的URL。

同時我們列出了染毒的XCode6.4版本的所有下載來源，共有52條記錄，無一來自蘋果官方網(wǎng)站。也就是說，染毒的XCode泛濫并非由迅雷導(dǎo)致，某網(wǎng)盤是染毒XCode的主要下載源。

與此同時迅雷已將染毒的XCode文件屏蔽下載。

說法4：迅雷下載難道只判斷文件名，不會檢測哈希值之類的嗎?

迅雷并不通過文件名或文件大小來判斷文件是否一致。迅雷下載會在下載開始時檢測文件的哈希值(特征值)，下載過程中會與原始地址及鏡像進行實時比對校驗，發(fā)現(xiàn)錯誤數(shù)據(jù)就會在下載過程中立即糾錯，所以才會出現(xiàn)所謂的“下載進度倒退”現(xiàn)象。文件下載完成后會再次進行完整的文件校驗。

說法5：我遇到過某軟件官網(wǎng)鏈接用迅雷下載到了這軟件的上一個版本

這種情況確實在部分用戶的環(huán)境中發(fā)生過，經(jīng)過我們聯(lián)系用戶進行調(diào)查，結(jié)果發(fā)現(xiàn)是用戶使用的網(wǎng)絡(luò)運營商為了降低自身網(wǎng)絡(luò)出口的流量成本。會自己架設(shè)CDN服務(wù)器來緩存比較熱門的文件。當某軟件發(fā)布新版本更新了安裝文件，而下載地址未變時，該運營商的CDN服務(wù)器沒有及時的更新文件。仍將用戶的訪問請求指向了緩存的老文件，此時用戶使用迅雷進行下載，就會下載到上一個版本。這種情況并不常見，而且迅雷已經(jīng)進行了優(yōu)化。

說法6：如果我把染毒的文件放在自己架的一個服務(wù)器上，并修改本機DNS將官方下載鏈接的下載請求指向我自己架的服務(wù)器，再用迅雷下載這個帶毒的文件，迅雷就會把這個染毒的文件分享給別人了。

這種假設(shè)是行不通的，雖然這么做能讓迅雷把染毒的文件下載到你本機。但是我們前面介紹過，迅雷在下載完成后會進行完整的文件校驗，如果你下載的文件是染毒的，文件校驗得出的特征值就會截然不同。因此迅雷的索引服務(wù)器就不會將染毒的文件跟正常的文件關(guān)聯(lián)在一起。自然別的迅雷用戶就不會從你本機獲取這個染毒的文件。