蓝点网
给你感兴趣的内容

百度旗下站点被发现捆绑恶意软件用于流量劫持

Linux就该这么学

基于习惯问题国内不少用户在下载软件时通常都会通过下载类网站而不是前往软件官方网站去下载安装包。

而这种习惯也会让恶意软件随着下载的安装包悄悄潜入电脑,如百度旗下的网址导航站点Hao123的下载站。

近期火绒安全实验室发现了Hao123网址导航的软件下载站点会在软件安装包中嵌入恶意代码然后进入系统。

用户打开从Hao123下载的软件后恶意代码立即在后台静默运行并释放多个控制模块与远程服务器进行连接。

而这些恶意代码潜入用户的设备后会按照远程服务器的指令进行分门别类的劫持,把用户当做肉鸡进行控制。

注:被火绒曝光后Hao123已经撤下了恶意代码和相关的下载器

恶意软件运行流程图图:

百度旗下站点被发现捆绑恶意软件用于流量劫持

正常的软件被潜入恶意代码安装时出现大量进程:

百度旗下站点被发现捆绑恶意软件用于流量劫持

恶意代码均含有百度旗下公司的数字签名:

百度旗下站点被发现捆绑恶意软件用于流量劫持

(点击图片可查看大图)

恶意软件潜入系统后的行为:

1、劫持各类型的导航站点:当用户访问诸如360、QQ、搜狗、2345等导航网站时被劫持至Hao123;

百度旗下站点被发现捆绑恶意软件用于流量劫持

2、劫持IE浏览器主页:将IE浏览器首页直接修改成Hao123并通过百度网盟计费名统计劫持流量;

3、劫持其他浏览器:若恶意软件检测到用户正在使用360系列浏览器则把默认浏览器修改为IE浏览器;

4、网盟广告劫持:将百度网盟的其他渠道计费名称换成渠道商猎豹(即金山毒霸),获益后再进行分成;

5、劫持电商网站流量:使用IE浏览器访问京东等网站时会跳转到电商导流网站再跳转回去并附带计费ID;

百度旗下站点被发现捆绑恶意软件用于流量劫持

开机自启动并与远程服务器通信:

这些潜入的恶意模块会将自身加入Windows开机自启动,启动后即与病毒制作者的服务器进行通信。

比普通的恶意软件高级的是病毒制作者可以通过远程服务器下达劫持指令,然后按地区等条件进行劫持。

事实上这些病毒的制作日期还是在2016年9月份,不过此前远程控制模块近期才被开启进行劫持然后被发现。

除了可以劫持各类计费跳转外如果有必要的话这些恶意模块很可能可以向用户直接安装推广软件等等。

远程服务器地址:

C&C服务器指令接口

描述

http://update.123juzi.net/update.php

恶意代码更新(nvMultitask.exe)

http://update.123juzi.net/ccl.php

恶意代码更新(svcprotect.dat)

http://update.123juzi.net/getupfs2.php

用户级劫持控制指令(svcprotect.dat)

http://update.qyllq.net/test_json.php

用户级劫持控制指令1(iexplorer_helper.dat)

http://api.qyllq.com/url_loc.php

用户级劫持控制指令2(iexplorer_helper.dat)

http://update.qyllq.com/tnpp.php

用户级劫持控制指令3(iexplorer_helper.dat)

http://update.qyllq.net/ntdl.php

旧版内核级劫持控制指令

http://update.qyllq.com/getupfs2.php

新版内核级劫持控制指令

详细的技术细节请访问火绒杀毒:http://www.huorong.cn/info/148826116759.html

赞(0) 打赏
转载请注明蓝点网 » 百度旗下站点被发现捆绑恶意软件用于流量劫持
分享到: 更多 (0)
蓝点网小程序

评论 4

评论前必须登录!

 

  1. #4
    Google Chrome 56.0.2924.87 Google Chrome 56.0.2924.87 GNU/Linux x64 GNU/Linux x64

    我用ubuntu,不怕这些助手

    ABetaCare1年前 (2017-03-03)
  2. #3
    Google Chrome 56.0.2924.87 Google Chrome 56.0.2924.87 Windows 10 64位版 Windows 10 64位版

    企业文化不同

    teslac1年前 (2017-03-02)
  3. #2
    Google Chrome 56.0.2924.87 Google Chrome 56.0.2924.87 Windows 7 64位版 Windows 7 64位版

    大环境造就这样病态的网络环境,不晓得各个监察机关的各种检测手段这个都监测不到?

    yvesyc1年前 (2017-03-02)
  4. #1
    UC Browser 6.1.2107.8 UC Browser 6.1.2107.8 Windows 10 64位版 Windows 10 64位版

    真**贱格啊,看看人家谷歌做什么,看看百度做甚么?不说实力差距,这风气就不及人家脚趾头了

    洛儿1年前 (2017-03-02)

如果本文对您所有帮助,请打赏作者进行支持呦~

支付宝扫码打赏

微信扫码打赏