“悍馬”病毒源頭調查 明家聯合否認子公司“造毒”

　　影響全球手機的一款手機病毒“悍馬（hummer）”究竟是誰製造的？7月初，安全廠商獵豹移動（美股代碼：CMCM）的安全專家指出，經過對悍馬病毒樣本分析發現，多條線索都指向我國的一家網際網路廣告公司——微贏互動，該公司在2015年被A股上市公司明家聯合（證券代碼：300242.SZ）收購。

　　獵豹移動安全專家李鐵軍在接受《中國經營報》記者採訪時表示，上述多條線索指向微贏互動的原因是，獵豹移動是通過分析病毒樣本的伺服器資訊、域名註冊資訊、上市公司資産公告、上市公司十大股東資訊、全國企業信用查詢系統等對病毒進行追溯得出的結論。

　　針對獵豹移動的線索指向，7月8日，明家聯合發佈公告否認製造、傳播悍馬病毒。7月13日，明家聯合公關部門告訴本報記者，其追溯病毒的核心是病毒代碼使用的域名，而該域名已經在2015年轉出，但獵豹移動並未與明家聯合進行核實。

　　那麼肆虐全球的悍馬病毒究竟來自何方？明家聯合子公司微贏互動是否涉事其中？這些依然有待國家監管部門予以公斷。事件背後微贏互動盈利模式或受到質疑，而安全廠商罕見深挖病毒來源的意圖也受到關注。

　　誰是悍馬病毒製造者？

　　早在6月22日，獵豹移動安全實驗室發佈安全警告，發現一個影響全球的手機病毒家族，並將其命名為“悍馬（hummer）”。今年以來，悍馬病毒全球日活峰值超140萬，平均日活119萬，其中中國受害手機每天超過6.3萬。

　　7月7日，獵豹移動的安全專家進一步指出，經過對悍馬病毒樣本仔細分析之後發現，多條線索都指向微贏互動。

　　其實在年初，“HummingBad”的行為就被發現，360和獵豹相繼做出了安全預警和風險提示。不久之前，以色列安全廠商Check Point也發佈報告稱，發現惡意軟體（HummingBad）是由中國移動廣告企業微贏互動海外平臺開發團隊所開發。

　　根據獵豹移動發佈的報告可知，目前悍馬手機病毒已遍佈全球，印度、印尼、土耳其位居前三，中國居第四。其中，印度是悍馬病毒感染量最高的國家。在印度肆虐的十大手機病毒中，第二、三名是悍馬病毒家族成員，第六名是悍馬病毒推廣安裝的其他病毒。

　　據悉，悍馬病毒自帶ROOT（完全掌控系統底層及系統文件的系統許可權）模組，最新變種擁有18套不同的ROOT方案，一旦手機被感染，病毒即獲得最高系統許可權，因而一般的毒查殺方法均不能徹底清除。中毒之後，手機會頻繁彈出廣告影響正常操作。病毒會推廣手機遊戲，甚至在後臺靜默安裝色情應用，許多中毒用戶發現手機總是被莫名安裝很多軟體，卸載之後不久再次被安裝。獵豹移動安全專家在一部測試手機安裝該病毒APP，結果病毒在短短幾個小時內，訪問網路連接數萬次。消耗網路流量2GB，下載APP超過200個。

　　據獵豹移動推算，以每台中毒手機每天僅安裝一個APP最低收入0.5美元估算，悍馬病毒團夥每天獲利超50萬美元。

　　然而在7月8日，明家聯合便就上述事件發佈了澄清公告，否認微贏互動參與製作及傳播悍馬病毒。“微贏互動從未製作或傳播或使用過HummingBad惡意代碼，該代碼更新、發回報告等運營方式涉及的cscs100.com等12個域名並非微贏互動所有；該代碼涉及的兩個域名hummermobi.com和hummeroffers.com已于2015年11月11日轉出，此後該域名的持有人並非公司或公司員工。”明家聯合在公告中表示。

　　7月13日明家聯合公關部門在接受《中國經營報》記者採訪時表示，公司有明確的證據表明病毒代碼涉及的域名已經在2015年底轉出，但因為文件資訊涉及交易人隱私問題暫時不會對外公佈，當國家相關監管部門調查需要時會對他們提供。

　　對於明家聯合的澄清公告，7月13日，李鐵軍在接受記者採訪時堅持認為，獵豹移動安全實驗室發佈的《悍馬（Hummer）病毒家族追蹤》報告的準確性。

　　那麼，肆虐全球的悍馬病毒究竟是誰製造、傳播的，似乎有待國家相關監管部門予以公斷。

　　獵豹移動追溯病毒源頭遭質疑

　　根據獵豹移動的報告，獵豹移動安全專家通過對病毒樣本的分析，追蹤到用於悍馬病毒升級的域名。隨後通過查詢域名註冊資料，對比明家聯合公開資訊發現，多條線索都指向微贏互動。

　　據稱，自2016年年初開始，悍馬病毒投入cscs100.com等12個域名用於病毒更新和推廣指令下發。獵豹移動通過查詢域名註冊資料發現域名擁有者資訊為“陳陽”。註冊這些域名使用的郵箱，被發現用於新浪微網志，賬號名為“Iadpush陳陽”和“McVivi_Vip”，微網志簡介為IAdPush員工，IAdPush是微贏互動旗下的廣告平臺，主營業務為移動廣告。據上市公司已公開資訊，微贏互動的聯合創始人之一也叫陳陽，是該公司負責技術的CTO，名列上市公司明家聯合的第十大股東。另外，在悍馬使用的病毒域名的註冊資料中，地址資訊“重慶市渝中區大溪溝星都大廈5層”，正是微贏互動公司重慶分公司的辦公地址。

　　在病毒域名的whois（用來查詢域名的IP以及所有者等資訊的傳輸協議）資訊中，有兩個貌似是商業廣告公司的網站： hummermobi 和hummeroffers。經過查閱上市公司公開資料，這兩個域名屬於上海昂真科技有限公司，而該公司為北京微贏互動科技有限公司在上海的全資子公司。獵豹移動查詢工商註冊資料發現，陳陽是上海昂真科技有限公司重慶分公司的法人代表，也是兩個病毒更新域名的實際持有人，與前述查詢結果吻合。

　　除此之外，經過對病毒代碼中留下的相關線索調查，獵豹移動安全專家在SourceForge.net發現悍馬病毒製造者員工建立的賬號（注：SourceForge 是全球最大開源軟體開發平臺和倉庫，是一個為開源軟體提供存儲、協作和發佈的平臺），該賬號上傳了大量內部資料，包括廣告後臺使用流程（這個後臺同時也是病毒的升級地址）等機密文件，甚至包括APP測試流程、KPI考核文檔等。

　　與獵豹移動長達數頁的分析報告相比，明家聯合發佈的澄清公告則簡短很多。明家聯合公關人員告訴記者，獵豹移動上述分析報告的核心其實是悍馬病毒使用的域名，而報告提及的域名微贏互動已經于2015年11月轉讓出去。“上述域名最初的註冊人確實是微贏互動的員工，不過在域名轉讓之後，相關註冊資料並未跟著發生變更。”

　　對於獵豹移動將悍馬病毒的製造者直指微贏互動，明家聯合表示“獵豹移動的做法欠妥”。“獵豹移動在年初發現該病毒時已經上報給國家有關部門，因此獵豹移動不該對外披露病毒的詳細資訊；其二，獵豹移動並未就相關資訊與明家聯合進行核實，至今也未和明家聯合接觸；另外，獵豹移動或涉嫌以非法方式侵入明家聯合前員工的網路賬號。”明家聯合公關部門對記者表示。

　　業內人士表示，安全廠商披露報告的時候，一般只説病毒特徵和預估風險，但很少深度挖掘病毒的來源及用途。此次獵豹移動將通過深度挖掘病毒來源指向明家聯合的同時，這一舉動也被質疑為自我行銷。

　　據悉，獵豹移動已對旗下獵豹安全大師、獵豹清理大師兩款安全産品進行升級，並提供專殺工具供全球用戶下載，幫助用戶清除悍馬病毒，中毒用戶亦可選擇通過手機刷機來徹底清除。

　　浙江工商大學經濟學院教授陳宇峰和品牌與網路行銷專家講師劉傑克在接受《中國經營報》記者採訪時都表示，獵豹移動上述舉動或為借機宣傳其殺毒産品，以及品牌的行銷活動。而獵豹移動則並未正面回復記者的相關問題。

　　病毒廣告行銷前景難料

　　在獵豹移動發出的報告中，獵豹移動安全專家從悍馬病毒樣本的時間節點上發現了一些巧合：2015年5月，病毒1.0版本被截獲，僅有兩個樣本，短短兩個多月之後，樣本數量增加到近200個；通過搜索引擎發現，2015年6月微贏互動被明家聯合（原明家科技）收購。

　　獵豹移動的上述發現對明家聯合收購微贏互動這項交易，以及微贏互動的盈利模式提出了質疑。

　　公開資料顯示：明家聯合原是一家以電涌保護産品為主的設備製造企業，在2015年並購三家網際網路公司後，逐步轉型網際網路廣告業務。記者檢索明家聯合公告發現，2015年6月明家科技發佈收購公告，公司宣佈分別以10.08億元收購北京微贏互動科技有限公司的100%股權。

　　公告稱，微贏互動旗下産品主要包括Iadpush平臺、易盟平臺及千速平臺，覆蓋億級媒體資源，且覆蓋了過億規模手機用戶群體。根據簽訂的交易協議，微贏互動承諾2015年至2017年，公司扣除非經常性損益後凈利潤分別不低於7150萬元、9330萬元和12000萬元。微贏互動在2013年、2014年扣除非經常性損益後凈利潤分別為827.17萬元、4248.13萬元。

　　值得注意的是，彼時該項交易，因為增值率高達934.84%、覆蓋過億規模手機用戶群體、2013年到2014年業績快速增長原因以及毛利率等問題，曾引起社會關注，並引發深交所問詢，要求明家聯合對微贏互動廣告投放到手機用戶的方式、盈利模式、毛利率等問題進行説明。2015年6月，明家聯合對深交所的問詢進行了回復。

　　中投顧問文化行業研究員蔡靈在接受本報記者採訪時曾表示，“一般公司在做業績承諾時，都會將業績定得較高，這樣有利於提高投資者信心，吸引投資者進行投資，但實際上真正能夠達到承諾業績的公司少之又少。”

　　然而根據明家聯合的公告顯示，2015財年微贏互動超額完成業績承諾。根據《審計公告》，微贏互動 2015年度合併報表中的凈利潤為7585.28萬元，其中歸屬於母公司所有者的凈利潤為7585.28萬元；扣除當期非經常性損益的合併凈利潤金額7421.63萬元，其中扣除非經常性損益後的歸屬於母公司所有者的凈利潤為7421.63萬元。較2015年承諾業績7150萬元還多出271.63萬元。

　　而明家聯合完成2015年的多項並購後，當年的營業收入與凈利潤均大幅增長。財報數據顯示，明家聯合2015年營業收入9.01億元，較2014年增長4倍以上。其中移動網際網路業務營業收入8.02億元，佔比89.02%。2015年凈利潤5112.48萬元，較2014年增長11倍。

　　明家聯合在報告中表示，微贏互動業績的增長得益於國內移動廣告市場的高速增長。而悍馬病毒的出現則揭開病毒與廣告之間的黑色産業鏈。

　　據易觀數據，2012年至2015年，移動廣告市場規模均保持超過100%的增速。與此同時，移動客戶端病毒的數量也隨著移動廣告的市場規模在增長。根據國家電腦病毒應急處理中心發佈的《第十五次全國資訊網路安全狀況暨電腦和移動終端病毒疫情調查分析報告》顯示，2015 年，我國手機網民數量達6.2億。 2015 年有 50.46%的移動終端使用者感染過病毒。

　　“有市場需求就有供應，與正常的廣告行銷相比，手機病毒是一種低運營成本的廣告行銷渠道；另外從廣告客戶角度來説，病毒廣告確實能夠給客戶帶來流量。”劉傑克表示。

　　中國電子商務協會網路行銷研究中心專家委員唐興通對記者表示，由於手機螢幕比較小，在移動端的病毒廣告——比如彈出式廣告、強迫用戶完成安裝的廣告——格調低、傳播效果糟糕，長此以往對企業品牌的影響也不好，因此病毒廣告對大中型企業而言並不是一種可取的廣告行銷方式。

　　什麼是病毒廣告？

　　移動廣告主要分三種收費模式：

　　一是按廣告展示次數收費，此類廣告産品只要完成內容展示即算作廣告投放完成；

　　二是按廣告帶來的産品收入分成計費，此類廣告産品需要用戶完成産品安裝、首次使用，才算作完成廣告投放；

　　三是按照廣告成果進行計費。此類廣告産品只有當廣告主實際産生收入時，才會分成給微贏互動。

　　目前，移動廣告已經成為一個巨大的市場。根據艾瑞諮詢進行的市場調研和預估，2014 年我國移動廣告市場規模為296.9億元，在過去三年中均保持超過100%的增速。艾瑞諮詢預計2015 年移動廣告市場規模將達到610.1億元，甚至超過前三年的總和。

　　但近幾年，移動客戶端病毒的數量也跟隨著移動廣告的規模而增長。根據國家電腦病毒應急處理中心發佈的《第十五次全國資訊網路安全狀況暨電腦和移動終端病毒疫情調查分析報告》顯示，2015 年，我國手機網民數量達6.2億。 2015 年有 50.46%的移動終端使用者感染過病毒，比 2014 年上漲了 18.96%，漲幅較大。

　　流氓病毒能自動彈出廣告，強迫用戶完成安裝，提高自身流量，對移動廣告商而言無疑是增長利潤的利器。

免責聲明：中國網財經轉載此文目的在於傳遞更多資訊，不代表本網的觀點和立場。文章內容僅供參考，不構成投資建議。投資者據此操作，風險自擔。