这就是全体么?完全的XCodeGhost变乱是如许的

【前言】

这几天安全圈几乎被XCodeGhost变乱刷屏，各人都非常关注，各安全团队都很给力，纷纷从不同角度剖析了病毒行动、传播方法、影响面积甚至还人肉到了作者信息。拜读了所有网上公开或者半公开的剖析讲演后，咱们认为，这还不是全部，以是咱们来补充下完整的XCodeGhost变乱。

由于行文仓促，难免有诸多错漏之处，还望同行批评指正。

【变乱溯源】

事情要追溯到一周前。

9月12日，咱们在跟进一个bug时发明有APP在启动、退出时会经由网络向某个域名发送异常的加密流量，行动非常可疑，于是终端安全团队即时跟进，经由一个周末加班加点的剖析和追查，咱们基本还原了沾染方法、病毒行动、影响面。

9月13日，产品团队宣布了新版本。同时考虑到变乱影响面比较广，咱们即时知会了CNCERT，CNCERT也马上采取了相干措施。以是从这个时间点开始，后续的大部分安全风险都得到了把持——能够看看这个时间点前后非法域名在全国的解析情况。

9月14日，CNCERT宣布了这个变乱的预警布告。咱们也更新了挪动APP安全检测体系“金刚”。

=3){ return false; } pic += (pic?'||':'') + encodeURIComponent(a.src); }); summary = encodeURIComponent(summary.innerText.replace(/\r|\n|\t/g,'').replace(/ +/g,' ').replace(//g,'').substr(0,80)); } var single_img ='https://pic.zhiletu.com/2020/12/57.jpg'; pic = pic.replace(single_img+'||',''); pic = pic.replace(single_img,''); pic = single_img+(pic?'||':'')+pic; var link =typeof settings.link!='undefined'?settings.link:''; if(!link||link.length