國外安全公司 Minerva Labs 發(fā)文介紹了他們調(diào)查 Flash 中國版的情況。

據(jù)介紹，在過去的幾個月里，Minerva Labs 收到多個警報，警報顯示一個名為 FlashHelperService.exe 的可執(zhí)行文件可能存在惡意代碼。為此他們決定對這個二進(jìn)制文件進(jìn)行調(diào)查，以確定這是誤報還是真正的惡意軟件。

[[383833]]

Minerva Labs 指出這個二進(jìn)制文件的簽名來自“Zhong Cheng Network”，“Zhong Cheng Network”即重橙網(wǎng)絡(luò)科技有限公司，它是 Adobe 公司在中國的戰(zhàn)略合作伙伴，全權(quán)負(fù)責(zé) Adobe Flash Player 在中國的發(fā)行與運營。

Adobe 在2020年12月31日之后停止更新和分發(fā) Flash，此后國內(nèi)代理商重橙網(wǎng)絡(luò)宣布推出面向中國地區(qū)提供的 Adobe Flash Player，并表示會在 2020 年后繼續(xù)負(fù)責(zé) Flash 在中國的獨家官方發(fā)行工作，對 Flash 中國版提供支持，包括最新版本的下載、運營與技術(shù)維護(hù)等服務(wù)。

Minerva Labs 從 flash.cn 下載了 Flash 以進(jìn)行調(diào)查。在經(jīng)過二進(jìn)制分析和逆向工程后，他們發(fā)現(xiàn) Flash 中國版除了安裝 Flash 之外還會下載和運行名叫 nt.dll 的二進(jìn)制文件，該二進(jìn)制文件會加載到 FlashHelperService 中，并在設(shè)定好的時間打開彈出窗口。

Minerva Labs 繼續(xù)調(diào)查其有效負(fù)載后，發(fā)現(xiàn)此文件的最終意圖類似廣告程序，并且存在令人擔(dān)憂的威脅，原因是此文件包含通用的二進(jìn)制分發(fā)框架可被攻擊者用于加載惡意代碼，從而有效繞過傳統(tǒng)的 AV 磁盤簽名檢查。而且許多企業(yè)都會安裝 Flash，如果真的被惡意利用，后果不堪設(shè)想。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：Flash 中國版會安裝廣告程序，被曝存在嚴(yán)重安全問題

本文地址：https://www.oschina.net/news/131204/the-curious-case-of-flashhelperservice