火绒企业版处理：酷我音乐携带木马收集用户隐私

　　火绒安全，这家知名度似乎并不是那么高的企业却在近日发布了火绒企业版产品，与国内外许多知名安全企业正面“掰手腕”。这家“不走寻常路”的企业究竟有着怎样的底气?火绒企业版的入局又会对整个产业带来怎样的影响呢?

　　当需求激增撞上创新停滞：安全市场呼唤“鲶鱼”

　　时间倒回至十多年前，国内互联网还处于高速上升时期，广大网络安全厂商也远没有现在这般体量，彼时，无论是C端用户还是B端用户最贴切的感受就是网络安全软件真正帮助用户拦截垃圾信息，保护上网环境。

　　去年上半年发生的两次全球性的勒索病毒已经给我们敲响了警钟，而且随着越来越多企业数字化转型加快，以及物联网应用爆发式增长，企业所面临的网络信息安全风险成倍放大;前不久，Facebook发生的大规模信息泄露事件也反映了企业对于网络信息安全需求已经上升到了空前的高度。

　　企业级市场对网络安全软件的需求量大大提升，但人们却失望地发现，当前很多网络安全公司发展滞后，远不能满足当前网络安全需求，很多安全厂商使用国外的设备却无法满足国内企业的本地化需求。随着信息安全事故愈演愈烈，广大用户对安全软件也产生了信任危机。

　　平时看似吊咋天的杀毒软件，为何突然之间就蔫了那?

　　在笔者看来，国内很多安全厂商同时生产安全软件和普通软件，那种即当裁判又当选手的厂家，早已经背离了产品的原始初衷，过度的精力放在了流量上面，却忽视了主营业务网络安全的创新和发展。这也是为什么企业安全产品已经有很多年的历史，但它们的产品及功能却根本没有解决用户的痛点，面对全球网络安全技术发展滞后的现状，一款易于布署并且真正能够解决网络安全技术势在必行。

　　由此可见，看似一片红海的安全市场，其实是一片蓝海，一个行业的进步需要搅局者，否则将停滞不前，对于看似已经稳定下来的安全软件行业更是如此，整个行业急需一条“鲶鱼”，搅动整个产业回归安全的初心。

　　大道至简：回本溯源才是商业的归宿

　　任何一个行业兴起的原始诉求都是为了解决某一领域的痛点，对于网络安全产品来说所要做的就是“安全”这件事。

　　作为火绒C端的重度用户，在笔者看来这么多年火绒最大的特点就是纯粹，它不讲故事，不劫持用户，关闭流量业务，这些行为咋一看似乎与主流的形势并不相符，可实际上也正是这份专注使得它可以把更多的精力放在产品上来。

　　从创立到现在用了七年才推出自己的企业版产品，才开始进行商业化运作，这对于一家创业公司来说绝不是件简单的事，其实早在两年前，身边不少使用火绒的朋友就表示出对企业版的期待，如今火绒的正式推出也有那么几分“千呼万唤始出来”的感觉。此次企业版究竟如何?我们不妨拿它与行业其它产品进行下简单的对比。

　　在功能模块方面，火绒企业版是目前国内唯一一家将反病毒引擎、主动防御系统、网络防火墙深度融合在一起的终端安全产品，三个模块可以协同运行。而现在市场上其他安全厂商有的只有一个，有的只有两个，即便三个都有但模块是分离的，感觉就像是在用一条腿走路，无法发挥三大模块彼此的衔接、协调和配合作用。

　　针对目前内网环境，目前市场上没有一款产品可以解决断网查杀问题，因为他们使用的都是国外引擎，不了解国内本地化需求。即使像360这样有自己本地引擎的企业，在断网查杀方面效果也无法令人满意。而火绒的本地引擎则具有断网查杀能力，而且查杀能力不会因为断网受到影响，迎合了国内企业级用户网络安全方面的诉求。

　　除此之外，政府、企业网络中有许多Windows7、XP等老系统，普遍存在无法及时更新系统补丁，甚至老漏洞多年不修复等问题，从而成为勒索病毒等恶性病毒的重灾区，当前企业级市场的安全软件却无法解决这一问题。在这一方面，火绒设置了漏洞攻击拦截以及漏洞修复的双重保护，可以很好地解决系统漏洞这一难题。而且每个“火绒企业安全软件”的用户，都享受着数百万火绒产品终端和EDR系统所产生的威胁情报的价值。

　　三方面对比不难看出，火绒企业版与市场上的其它竞品相比具有非常明显的优势。当然了，这一优势的建立靠的不只是技术创新，唯技术论也不行，不免陷入“技术沙文主义”窘境，技术不能脱离用户，要多听用户反馈。

　　这一点上，较之其他厂商而言，火绒做的尤为可圈可点。火绒的用户往往集中于网管、意见领袖等高价值用户，这部分人对于产品往往很挑剔，也是因为如此，火绒的2C产品已经广泛应用于企业和政府，更懂用户的实际需求，因此产品设计可以直击企业级用户痛点，满足政府、企业用户在目前互联网威胁环境下的电脑终端防护需求。

　　大道至简，回归产品本身的原始诉求，真正以解决用户安全问题为目标，才能实现商业价值和企业价值。而服务用户永远是安全厂商所应承担的真正使命，正因为如此，“纯粹”的火绒也收获了良好的品牌口碑，这也将为其进军企业级市场增添巨大的助力。

　　企业版产品价值凸显：后商业时代逆潮流或为真时尚

　　前面我们讲到，从去年十二月底火绒展开了三个月试用活动。而实践是检验认识真理性的唯一标准，就目前笔者所了解到的，火绒企业版产品在杀毒防毒方面表现出色。

　　不久前，山东省某地震局的网络中，虽然已经安装国内某知名云引擎杀毒软件，却仍遭到一种“蠕虫式”勒索病毒的不断攻击，屡杀不止。而在全网部署“火绒企业版”，并全盘查杀，清除了病毒后，相关电脑也不再提示被该病毒攻击。

　　相与之相类似的，某企业发现服务器有感染勒索病毒的迹象，迅速向火绒求助。火绒发现该企业服务器由于安装火绒，所以并未中毒。经过检查，发现同时有两款勒索病毒GlobeImposter病毒、Wannacry病毒在内网流窜，除了部分安装火绒的电脑，其他都被病毒感染。最终，通过统一部署火绒并全盘查杀，才得以清除勒索病毒。

　　两个典型的案例将火绒的产品价值凸显的淋漓尽致。而且，不同于C端用户在使用某项产品可能是冲动、品牌、场景等多个复杂因素影响。B端用户在产品选择方面往往极为理性，真正好的产品才能得到市场的认可，这也给了火绒这样低调务实的企业提供弯道超车的机会。

　　在如今这样一个流量社会，赶潮流、追风口、割韭菜似乎成为这个时代企业的共同选择，没有什么比做流量更赚钱了。而且不盈利的企业是不道德的，毕竟涉及众多员工的职业规划，工资薪酬等，可一味的将核心战略定位为盈利方向，即便赚的体满钵满，能受人尊敬吗?

　　如今看来，后商业时代，企业最终还是得回到产品上来，如果还一味的将企业战略完全锁定在资源的零和博弈上，放在模式创新而非技术突破上，看似潮流却是一种与科技发展背道而驰的做法。正如彼得·蒂尔在《从0到1》序言中所写的那样：“我们想要一辆会飞的汽车，得到的却是 140 个字符。(Twitter)”。

　　火绒看起来似乎一直都那么执拗，手握那么多流量却选择一种最累的方式活着，早在2C时期，就因为不做流量生意，被称作“不懂人情世故”，可如今看来，这种“不懂人情世故”恰恰是做产品所需要的品质，在安全软件备受质疑的今天，火绒的执拗也为其赢得了更多的尊重。

　　火绒工程师深入分析发现，“酷我音乐”携带的间谍木马会在后台进行搜集用户隐私信息等恶意行为：

　　1、搜集用户主机登录过的QQ号码。

　　2、通过浏览器浏览历史归纳用户特征后回传后台。

　　3、通过云控配置下发命令至用户电脑，比如下载音频文件回传到服务器后台。

　　此外，该木马还可随时通过远程服务器进行其它操作，不排除未来通过修改云控配置下发其它风险模块的可能性。

　　同时， “酷我音乐”会通过云控下发两套间谍木马：一套下发在软件的安装目录下;另外一套则会下发到非软件安装目录，且即便“酷我音乐”卸载后仍然驻留用户系统，持续响应云控指令。

　　事实上，早在2015年，“酷我音乐”携带的上述间谍木马就曾被国外安全厂商报“潜在不需要的程序(PUA/PUP)”(见下方用户反馈链接)。可能由于该报法与行业内对恶意软件的定义有区别，因此未能引起其它安全厂商注意。直到今日火绒工程师在用户现场中发现，进而详细分析，认为这套组件功能已经超出了“PUA/PUP”的定义，且符合 间谍木马的定义。

　　值得一提的是，火绒工程师还发现该间谍木马的云控配置的链接在一个名为“bigdata”(大数据)目录下，推测该间谍木马是用作所谓的大数据收集之用。

　　信息时代的发展，越来越多的互联网公司对“大数据”趋之若鹜，对于过分追求数据信息而出现越权行为的软件、程序，火绒都将及时、持续进行拦截查杀，保护用户合理权益。同时，我们也呼吁 此类软件厂商，停止越权搜集用户信息等恶意行为，理性逐利，长久发展。最后，用户如 遇到任何可疑问题，可随时联系火绒获得帮助。