移动平台流量黑产研究——色情播放器类恶意软件产业链2016年12月26日摘要360烽火实验室8月底发现了三组异常流量曲线，流量曲线呈现存活时间短，连续3天此消彼长的态势，访问量集中最高峰值达到近2万次。大量可疑下载链接数指向的文件均为名称具有诱惑性、图标暴露的色情播放器类恶意软件，并且链接都包含固定的“list/日期”格式。可疑下载链接均来自重定向跳转，流量数据包中的Set-Cookie的值都有一个十分明显的固定特征“cdm=http”。抽取相似网络流量特征看，表现出IP层、跳转层、下载层的三层控制分发模型。通过对可疑域名的的追踪，发现了管理后台、分发的色情播放器类恶意软件以及网站使用的伪装手法。色情播放器类恶意软件产业链从制作上看，包括恶意模块集成、免杀、视频教程、申请支付ID。...