如题所述
百度旗下网站潜藏恶意代码,肆意劫持流量,引发安全警报
火绒安全实验室揭示了百度旗下skycn.net和soft.hao123.com的下载软件被暗藏恶意代码,这款代码以驱动形式顽固驻留,公然侵犯用户权益,远程操控电脑,疯狂劫持流量。令人担忧的是,这个恶意代码披着百度的合法签名,由nvMultitask.exe释放器捆绑下载。自2016年9月起,该恶意行为近期升级为“云端控制”,用户电脑在特定条件下随时可能遭受劫持。最让人无奈的是,该代码无卸载选项,完全受云端指令控制,威胁用户浏览器、首页等关键功能,导致大量流量无端流入hao123。
火绒安全团队将其命名为“Rogue/NetReaper”,并已发布安全软件和专杀工具以对抗这一威胁。用户可从火绒安全软件4.0和火绒专杀工具下载,进行有效防护。火绒提醒,这一恶意行为涉及以下主要劫持行为:
导航站劫持:用户试图访问其他导航站点时,被强行重定向至hao123。
首页篡改:IE用户的默认首页被悄悄改为hao123,流量数据遭到监控。
浏览器劫持:360浏览器被篡改为IE或假IE,流量统计流向hao123。
广告劫持:百度网盟广告计费名称被修改为猎豹(金山毒霸),导致广告收益流失。
电商流量劫持:用户在访问京东等电商网站时,会遭引诱至妖猴网,恶意代码从中获取收益。
火绒强烈建议用户立即升级到最新版本的安全软件,以保护自己免受这一威胁。据悉,推广费用的分配机制中,妖猴网向恶意代码的制作者输送利益。只要下载了soft.hao123.com的任意下载器,无需用户操作,恶意代码便会悄无声息地植入。通过使用火绒剑监控工具,用户可追踪植入过程。
恶意代码的执行过程相当狡猾,HSoftDoloEx.exe首先通过nvMultitask.exe植入关键文件,如HSoftDoloEx.exe、bime.dll和LcScience.sys,负责启动、保护和更新。LcScience.sys通过注册映像加载通知,悄悄注入bime.dll到目标进程,确保其能在不同环境下执行劫持操作。尤其值得关注的是,这些恶意文件中,百度的签名标志为它们披上了合法的外衣。
具体到执行步骤,services.exe通过"-inject=start"启动HSoftDoloEx.exe,bime.dll随浏览器启动并执行保护策略。恶意代码严密守护WaNdFilter.sys和LcScience.sys,防止被清理。nvMultitask.exe(3.2.0.4)版本通过解码、下载和解密文件,不断升级恶意软件。升级流程涉及HSoftDoloEx.exe请求更新、bime.dll在Explorer.exe中的请求,以及从C&C服务器获取加密指令。
当exe进程启动后,恶意模块svcprotect.dat活跃起来,它释放假iexplorer.exe和劫持浏览器首页。通过C&C服务器的指令,恶意代码执行三种劫持策略,包括替换浏览器、劫持启动参数,以及固有流量保护。其中,iexplorer_helper.dat执行复杂的C&C通信,涉及解码、XOR操作以及38-44图的加密指令操作。
百度网盟广告劫持事件尤为恶劣,恶意代码通过云控指令劫持导航站广告脚本,将用户流量导向非预期目标。详细的劫持过程涉及多个步骤,如拼接跳转链接、检测iframe标签等,见图57和58。
总之,百度旗下网站的这一恶意行为不容忽视,用户务必保持警惕并采取有效防护措施。火绒的安全软件和专杀工具为用户提供了一道坚固的防线,对抗这一狡猾的流量劫持者。
附录:恶意代码攻击时间线和关键样本信息
发现其他恶意代码释放器:
样本HASH列表
C&C服务器指令接口详情
面对这一威胁,用户务必保持警觉,及时更新安全防护措施,以保护自己的网络空间不受侵犯。
