百度承认旗下网站藏恶意代码:外包植入为了骗分成
网易科技讯 3月3日消息,近日火绒安全实验室称百度旗下两家网站和暗藏恶意代码,该恶意代码进入电脑后,会通过加载驱动等各种手段防止被卸载,进而长期潜伏,并随时可以被“云端”远程操控,用来劫持站、电商网站、广告联盟等各种流量。
对此,百度今日回应称,经过调查,相关报道真实存在,被影响的电脑会出现浏览器、网址被劫持的情况,还、伪装网站联盟链接,骗取百度流量收入分成,对百度造成了品牌和经济损失。
火绒安全实验室此前表示,根据分析和溯源,最迟到2016年9月,这些恶意代码即被制作完成。而流量劫持的“远程开关”于近期被,被感染的电脑会被按照区域和时段等条件,或者是随机地被“选择”出来,进行流量劫持。被植入的恶意代码没有正常的用户卸载功能,也没有常规启动项,电脑每次开机时都会启动和更新恶意代码,恶意代码接收C&C服务器指令,行为受云端控制,并且会通过加载驱动,相关的注册表和文件不被删除。
百度称,这两个网站提供的Hao123软件下载器,系第三方外包团队开发,在下载平台中植入了存在风险的驱动程序,涉嫌被网络黑产利用,以骗取百度联盟分成为目的,劫持用户流量,用户体验,从中非法谋利。
百度表示,已第一时间清除所有受感染的下载器,确保这两个网站下载软件安全可靠。并将相关查杀信息提供给腾讯、360、绿盟等安全厂商,并开发专杀工具,全面查杀,清除该类恶意代码,预计3月4日起可在hao123首页下载使用。
百度称已向机关报案,将协助主管部门全面调查。同时将严格规范和优化产品管理流程,杜绝此类事情再次发生。(易科)
经火绒安全实验室截获、分析、追踪并验证,当用户从百度旗下的和两个网站下载任何软件时,都会被植入恶意代码。该恶意代码进入电脑后,会通过加载驱动等各种手段防止被卸载,进而长期潜伏,并随时可以被“云端”远程操控,用来劫持站、电商网站、广告联盟等各种流量。
火绒实验室近期接到数名电脑浏览器被劫持的用户求助,在分析被感染电脑时,提取到多个和流量劫持相关的可疑文件:HSoftDoloEx.exe 、bime.dll 、MsVwmlbkgn.sys、LcScience.sys、WaNdFilter.sys,这些可疑文件均包含百度签名。
这些包含恶意代码的可疑文件,被定位到一个名叫nvMultitask.exe的器上,当用户在和这两个下载站下载任何软件时,都会被下载该器,进而向用户电脑植入这些可疑文件。需要强调的是,下载器运行后会立即在后台静默和执行器nvMultitask.exe,植入恶意代码,即使用户不做任何操作直接关闭下载器,恶意代码也会被植入。
根据分析和溯源,最迟到2016年9月,这些恶意代码即被制作完成。而流量劫持的“远程开关”于近期被,被感染的电脑会被按照区域和时段等条件,或者是随机地被“选择”出来,进行流量劫持——安全业界称之为“云控劫持”。
被植入的恶意代码没有正常的用户卸载功能,也没有常规启动项,电脑每次开机时都会启动和更新恶意代码,恶意代码接收C&C服务器指令,行为受云端控制,并且会通过加载驱动,相关的注册表和文件不被删除。
该恶意代码被远程启动后,会劫持各种互联网流量,用户的浏览器、首页、站都会被劫持,将流量输送给hao123站。同时,还会电商网站、网站联盟广告等链接,用以获取这些网站的流量收入分成(详情在本报告第二章)。
综上所述,该恶意代码本身以及通过下载器植入用户电脑的行为,同时符合安全行业通行的若干个恶意代码定义标准,因此,火绒将这一恶意代码家族命名为 “Rogue/NetReaper”(中文名:流量收割者)。升级到“火绒安全软件”最新版本,即可全面查杀、清除该类恶意代码。
用户在这两个下载站下载软件后,电脑即被植入“Rogue/NetReaper”恶意代码,在长期的潜伏期过程中,电脑可能发生如量劫持情况(按地域和时间等因素云控劫持,或者随机劫持):
包括360、QQ、2345、搜狗、猎豹、114la、瑞星……等站都会被劫持,劫持后的hao123网址带有百度联盟的推广计费名。
当发现用户使用360安全浏览器或360极速浏览器时,默认浏览器被修改为IE浏览器,或者修改为假IE浏览器,以安全软件的浏览器。无论 怎样,被替换后首页都会变成hao123站,并通过百度联盟计费名统计流量。
百度网盟有许多渠道商,这些渠道商都将流量售卖给百度网盟,这个劫持行为是将其他渠道商的推广计费名换成金山的,这样的话,本来应该属于其他渠道的百度网盟推广费用,就被猎豹获得,猎豹再向恶意代码制作者分钱。
5.电商流量劫持:使用IE浏览器访问京东等电商网站时,先跳转到电商导流网站站,然后再跳转回该电商网站。
先跳转到电商导流网站妖猴网(),再返回原购物网站之后,电商网站链接就加上了妖猴网的计费名,电商网站就会按照流量向妖猴网支付推广费用,妖猴网再向恶意代码制作者分钱。
执行任意从载到的下载器,不需要进行任何操作,恶意代码就会植入用户计算机。使用火绒剑可以植入恶意代码的整个过程,如下图:
1.下载器执行的nvMultitask.exe。目前下载器包含的nvMultitask.exe是0.2.0.1版本,该版本仅会在用户计算机上植入部分恶意代码,如下:
3.启动的HSoftDoloEx.exe链接C&C服务器update.php)进行更新,更新的恶意组件将在下次计算机启动后被激活
经过几次更新之后,nvMultitask.exe的会升级到当前最新版本3.2.0.4,后续分析将会以这个版本展开。
1.5.9.1098版的iexplore.exe是一个伪装系统名称的假IE浏览器,我们把这个文件上传到VirusTotal后发现,很多安全软件检测此文件是病毒,如图: