蓝点网
给你感兴趣的内容!

安全警告:运营商劫持 LOL 等客户端进行海量级投放病毒

自上周开始就有小伙伴在微博上戳我们询问为何 PC 无缘无故安装大量软件并卸载重启后继续安装。

期初对于该事件我们一无所知,通过微博搜索发现有大量网友指责 LOL 客户端存在后台静默安装各类软件的博文。

然而最终 LOL 只是众多被挂马的客户端之一,而这些被挂马的客户端本身并没有问题,问题在于网络运营商(ISP,如国内三大运营商)通过劫持这些客户端从而进行海量级投毒。

安全警告:运营商劫持LOL等客户端进行海量级投放病毒

以下内容整理自@360 安全播报:

自上周末起 360 监控到一批下载者木马传播异常活跃,在 3 月 7 日时 360 的拦截两已经超过了 20 万次,同时网页挂马量的报警也急剧增加。

而经过分析木马的传播源头竟然是各大公司的正规软件,其中 LOL 和 QQLive 占了前三天传播量的 95%以上,河南省成为最多受感染的用户的省份。

木马传播源头:

  1. \英雄联盟\Air\LolClient.exe(腾讯公司英雄联盟客户端)
  2. \QQLiveBrowser.exe(腾讯公司 QQLive 视频播放器)
  3. \youkupage.exe(合一公司优酷客户端)
  4. \QyFragment.exe(爱奇艺科技公司爱奇艺客户端)
  5. \QQGAME\SNSWebBrowser\IEProc.exe  (腾讯公司 QQ 游戏大厅)
  6. \SogouInput\7.4.1.4880\SohuNews.exe  (搜狗公司搜狗输入法)

让人感到非常无奈的是本次海量级挂马竟然由运营商参与其中 ,该病毒通过运营商劫持用户网络访问在网页代码中插入一段 iframe 广告代码。

而这段广告代码则为客户端引入了带挂马攻击的 Flash 文件,究其原因在于国内许多桌面客户端仍然使用旧版本且带有漏洞的 Flash 插件,比如 LOL、QQLive 等。

除了 Flash 本身的漏洞让这些客户端容易遭受到攻击之外,这些客户端本身也没有做好安全防御、没有对通信进行加密导致了它们在 ISP 的攻击前不堪一击。

截止至昨天(3 月 10 日)晚上七点, 带有 Flash 攻击代码的远程服务器已经有超过 1000 万次独立用户访问 ,仅 3 月 9 日这一天就有超过 534 万独立用户访问到了挂马页面(非主动访问)。

一单用户在使用被挂马(Flash)的客户端时就会通过远程服务器下载木马病毒(.exe)

而该事件的始作俑者对于这次事件也是精心准备的,木马传播者准备了大量的木马免杀版本(免杀:通过安全软件检测)来对抗安全软件的查杀。

在高峰时刻该木马病毒平均每分钟会更新一个版本来针对多个安全软件进行免杀处理。

无利不起早: 该木马病毒实际就是一个下载程序和广告程序的集合,一方面在用户电脑上弹出广告,另一方面下载大量推广软件静默安装到用户的电脑上。

在整个木马传播的过程中,至少有三个团体参与其中:

  1. 渠道方面有 ISP 负责,他们对用户进行劫持并在页面中插入广告;
  2. 广告提供商为上海米劳传媒,其控制几个挂马传播的服务器;
  3. 木马作者则控制着含有 Flash 攻击代码的服务器。

在对木马作者进行追查之后,发现攻击者来自四川省南充市并已从事网络黑产多年。

该团伙还有自己的广告联盟,主要推广百度卫士、百度杀毒、金山毒霸、放放电影、鱼鱼影音、好 123 网址导航等。

通过获取到的各方面信息,我们分析出了这个推广团伙的策略手段。首先他们会通过广告商购买渠道的广告展示量,这个过程中,他们会选择一些监管不严的广告商,使自己带有木马的广告不至于被发现。其次会选取客户端软件来展示广告,由于大多数浏览器会升级 flash 插件,会影响其木马传播。

攻击者更青睐于防护脆弱的客户端软件,最后通过传播的下载者推广软件和广告变现。

做为互联网的基础服务商,运营商应该注意自身行为,切莫使自己的商业广告行为成为木马传播的帮凶;而各大客户端软件,更应该注重用户计算机的安全体验,做好自身漏洞的修复,及时更新所使用的第三方插件,不要再因为已知的软件漏洞再给用户带来安全风险;作为责任的软件厂商,也需要积极推进流量数据加密,来预防在通信过程中被劫持的情况发生;对于广大用户来说,使用一款靠谱的安全软件,开启软件的实时防护尤为重要。

(*主要内容转载自:360 安全播报  如需了解其中的技术细节请点击原文链接)

转载请注明来源于蓝点网及本文链接:蓝点网 » 安全警告:运营商劫持 LOL 等客户端进行海量级投放病毒
分享到: (0)
以下评论内容由网友保留所有权,除非特别注明否则所有评论均不代表本站观点!

评论 11

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #10
    Google Chrome 52.0.2743.116 Google Chrome 52.0.2743.116 Windows 10 x64 Edition Windows 10 x64 Edition

    我的头像怎么是滑稽?别人都没有呢?

    jelly6个月前 (08-19)回复
  2. #9
    Unknown Unknown Unknown Unknown

    并没有 [偷笑]

    小布12个月前 (03-12)回复
  3. #8
    Unknown Unknown Unknown Unknown

    幸亏排位连跪 我已经把 LOL 卸载了~~~

    死神zhi吃苹果12个月前 (03-12)回复
  4. #7
    Unknown Unknown Unknown Unknown

    少用国产或者使用修改版代替是不是可以避免 这些我一个没有安装过,唯一的的是 qqinternational

    等你在雨中12个月前 (03-12)回复
    • Google Chrome 55.0.2883.103 Google Chrome 55.0.2883.103 Windows 7 x64 Edition Windows 7 x64 Edition

      都停更了的软件,只要一直用本地安装包,估计没什么~
      用 zd423 之类的优化绿色版也一样

      RainSlide4周前 (02-02)回复
  5. #6
    Unknown Unknown Unknown Unknown

    [吃惊]

    欧巴12个月前 (03-12)回复
  6. #5
    Unknown Unknown Unknown Unknown

    用户除了安装安全软件外 别无他法

    山外的鸭子哥12个月前 (03-11)回复
  7. #4
    Google Chrome 48.0.2564.116 Google Chrome 48.0.2564.116 Windows 7 x64 Edition Windows 7 x64 Edition

    如何防范并解决问题呢?

    流氓ISP made by china12个月前 (03-11)回复
  8. #3
    Unknown Unknown Unknown Unknown

    我是不是中了这个毒……回去看看……擦泪

    Sister12个月前 (03-11)回复
  9. #2
    Unknown Unknown Unknown Unknown

    这些软件一个没装~

    MISAKA12个月前 (03-11)回复
  10. #1
    Unknown Unknown Unknown Unknown

    eset 上次拦截了一个 不知道什么东西 没管他 突然联想到了

    別來無恙嗯哼哼12个月前 (03-11)回复