【通知】XSettings雷锋助手释出，首次登台即拿非法广告祭旗

事件回顾：

上个月20日前后，陆续接到朝阳群众反应，雷锋源被非法植入广告，Cydia内雷锋源及其派生页面相继出现各种广告。该情况给大家带来了极大的不便。技术组连夜分析广告出现原因，奋战通夜梳理中整个入侵流程，于凌晨5时前后抓取全套攻击代码。

攻击分析

1：首先判断广告来源，雷锋源服务器是否被入侵？经过多方测试，技术组排除了该种可能。

2：然后技术组同学想到该木马可能来自非法插件，随即让测试机进入安全模式，让所有插件进入随眠模式。可惜此时进入测试机Cydia内仍然存在广告。而且广告内容还变成了魅惑女郎。。。这是在挑衅？

3：是否Cydia被劫持？通过逆向分析测试机上Cydia样本头部，再次排除了这种可能，分析陷入僵局。

4：通过抓包分析数据流，发现服务器流入数据正常，但是经过测试机接收后，发起了3个异常Get请求，跟进这三个Get请求，嘿嘿嘿~

第一个Get请求执行黑客的服务器api用于创建底部广告窗口

第二个Get请求用于创建页面上n个透明窗口，确保用户怎么点都会点击到广告内容（该杀!）

第三个Get在1~2请求受阻后发起，起补刀作用

但凡仍以1~3中任何一个请求接通服务器，就像打开潘多拉魔盒，瞬间在手机上建立50多个URL请求，整个攻击行为结束。

每次刷新页面，重复上述步骤。

真想大白：黑客通过用户访问挂马网站，下载带毒JavaScript，阻碍Cydia Cache（缓存）正常刷新，拦截雷锋源正常JS，劫持用户到黑客指定服务器，完成广告的大量散布。

由于手动清除感染的广告木马较为复杂，所以XSettings 也就应运而生，Settings本是技术组iOS8时开启的一个项目，由于一些事情耽搁至今。此次木马查杀只是XSettings众多实用功能中的一个，未来还很长，我们会不断努力。XSetting内置了原厂推送更新接口，方便将来同学们更新。

截图对比：

同学们直接前往雷锋源，搜索安装 雷锋助手 或者 XSettings 即可砍掉这该死的广告木马。

警告该黑客同学：

由于没找到太多您的联系方式，只好把律师函发往您的邮箱了，请注意查收。好自为之！