百度旗下站点被发现捆绑恶意软件用于流量劫持

基于习惯问题国内不少用户在下载软件时通常都会通过下载类网站而不是前往软件官方网站去下载安装包。

而这种习惯也会让恶意软件随着下载的安装包悄悄潜入电脑，如百度旗下的网址导航站点Hao123的下载站。

近期火绒安全实验室发现了Hao123网址导航的软件下载站点会在软件安装包中嵌入恶意代码然后进入系统。

用户打开从Hao123下载的软件后恶意代码立即在后台静默运行并释放多个控制模块与远程服务器进行连接。

而这些恶意代码潜入用户的设备后会按照远程服务器的指令进行分门别类的劫持，把用户当做肉鸡进行控制。

注：被火绒曝光后Hao123已经撤下了恶意代码和相关的下载器

恶意软件运行流程图图：

正常的软件被潜入恶意代码安装时出现大量进程：

恶意代码均含有百度旗下公司的数字签名：

恶意软件潜入系统后的行为：

1、劫持各类型的导航站点：当用户访问诸如360、QQ、搜狗、2345等导航网站时被劫持至Hao123；

2、劫持IE浏览器主页：将IE浏览器首页直接修改成Hao123并通过百度网盟计费名统计劫持流量；

3、劫持其他浏览器：若恶意软件检测到用户正在使用360系列浏览器则把默认浏览器修改为IE浏览器；

4、网盟广告劫持：将百度网盟的其他渠道计费名称换成渠道商猎豹（即金山毒霸），获益后再进行分成；

5、劫持电商网站流量：使用IE浏览器访问京东等网站时会跳转到电商导流网站再跳转回去并附带计费ID；

开机自启动并与远程服务器通信：

这些潜入的恶意模块会将自身加入Windows开机自启动，启动后即与病毒制作者的服务器进行通信。

比普通的恶意软件高级的是病毒制作者可以通过远程服务器下达劫持指令，然后按地区等条件进行劫持。

事实上这些病毒的制作日期还是在2016年9月份，不过此前远程控制模块近期才被开启进行劫持然后被发现。

除了可以劫持各类计费跳转外如果有必要的话这些恶意模块很可能可以向用户直接安装推广软件等等。

远程服务器地址：

C&C服务器指令接口	描述
http://update.123juzi.net/update.php	恶意代码更新（nvMultitask.exe）
http://update.123juzi.net/ccl.php	恶意代码更新（svcprotect.dat）
http://update.123juzi.net/getupfs2.php	用户级劫持控制指令（svcprotect.dat）
http://update.qyllq.net/test_json.php	用户级劫持控制指令1（iexplorer_helper.dat）
http://api.qyllq.com/url_loc.php	用户级劫持控制指令2（iexplorer_helper.dat）
http://update.qyllq.com/tnpp.php	用户级劫持控制指令3（iexplorer_helper.dat）
http://update.qyllq.net/ntdl.php	旧版内核级劫持控制指令
http://update.qyllq.com/getupfs2.php	新版内核级劫持控制指令

详细的技术细节请访问火绒杀毒：http://www.huorong.cn/info/148826116759.html