百度承认旗下网站藏恶意代码:外包植入为了骗分成 已报案
jopen 8年前
<p style="text-align: center;"><a href="/misc/goto?guid=4958995864924822568" title="百度"><img alt="百度承认旗下网站藏恶意代码:外包植入为了骗分成 已报案" src="https://simg.open-open.com/show/7abba56fc3fadb3d9ec53a10fbba04e0.jpg" /></a></p> <p>3 月 3 日消息,近日火绒安全实验室称百度旗下两家网站 www.skycn.net 和 soft.hao123.com 暗藏恶意代码,该恶意代码进入电脑后,会通过加载驱动等各种手段防止被卸载,进而长期潜伏,并随时可以被“云端”远程操控,用来劫持导航站、电商网站、广告联盟等各种流量。</p> <p>对此,百度今日回应称,经过调查,相关报道真实存在,被影响的电脑会出现浏览器、网址导航被劫持的情况,还篡改、伪装网站联盟链接,骗取百度流量收入分成,对百度造成了品牌和经济损失。</p> <p>火绒安全实验室此前表示,根据分析和溯源,最迟到 2016 年 9 月,这些恶意代码即被制作完成。而操纵流量劫持的“远程开关”于近期被开启,被感染的电脑会被按照区域和时段等条件,或者是随机地被“选择”出来,进行流量劫持。被植入的恶意代码没有正常的用户卸载功能,也没有常规启动项,电脑每次开机时都会启动和更新恶意代码,恶意代码接收C&C服务器指令,行为受云端控制,并且会通过加载驱动,保护相关的注册表和文件不被删除。</p> <p>因此,这些植入恶意代码的用户电脑成为长期被远程控制的“肉鸡”。</p> <p>百度称,这两个网站提供的 Hao123 软件下载器,系第三方外包团队开发,在下载平台中植入了存在风险的驱动程序,涉嫌被网络黑产利用,以骗取百度联盟分成为目的,劫持用户流量,伤害用户体验,从中非法谋利。</p> <p>百度表示,已第一时间清除所有受感染的下载器,确保这两个网站下载软件安全可靠。并将相关查杀信息提供给腾讯、360、绿盟等安全厂商,并开发专杀工具,全面查杀,清除该类恶意代码,预计 3 月 4 日起可在 hao123 首页下载使用。</p> <p>百度称已向公安机关报案,将协助主管部门全面调查。同时将严格规范和优化产品管理流程,杜绝此类事情再次发生。(易科)</p> <p style="text-align:center"><img alt="百度承认旗下网站藏恶意代码:外包植入为了骗分成 已报案" src="https://simg.open-open.com/show/abcca6b7d1135aea682396e860fcb024.jpg" /></p> <p>百度旗下网站被指暗藏恶意代码疯狂收割流量</p> <p><strong>来源:火绒安全公众号</strong></p> <p><strong>一、概述</strong></p> <p>经火绒安全实验室截获、分析、追踪并验证,当用户从百度旗下的 www.skycn.net 和 soft.hao123.com 这两个网站下载任何软件时,都会被植入恶意代码。该恶意代码进入电脑后,会通过加载驱动等各种手段防止被卸载,进而长期潜伏,并随时可以被“云端”远程操控,用来劫持导航站、电商网站、广告联盟等各种流量。</p> <p>火绒实验室近期接到数名电脑浏览器被劫持的用户求助,在分析被感染电脑时,提取到多个和流量劫持相关的可疑文件:HSoftDoloEx.exe 、bime.dll 、MsVwmlbkgn.sys、LcScience.sys、WaNdFilter.sys,这些可疑文件均包含百度签名。</p> <p>这些包含恶意代码的可疑文件,被定位到一个名叫 nvMultitask.exe 的释放器上,当用户在 www.skycn.net 和 soft.hao123.com 这两个下载站下载任何软件时,都会被捆绑下载该释放器,进而向用户电脑植入这些可疑文件。需要强调的是,下载器运行后会立即在后台静默释放和执行释放器 nvMultitask.exe,植入恶意代码,即使用户不做任何操作直接关闭下载器,恶意代码也会被植入。</p> <p>根据分析和溯源,最迟到 2016 年 9 月,这些恶意代码即被制作完成。而操纵流量劫持的“远程开关”于近期被开启,被感染的电脑会被按照区域和时段等条件,或者是随机地被“选择”出来,进行流量劫持——安全业界称之为“云控劫持”。</p> <p style="text-align:center"><img alt="百度承认旗下网站藏恶意代码:外包植入为了骗分成 已报案" src="http://static.open-open.com/news/uploadImg/20170303/20170303185602_847.jpg" /><br /> 图1、下载器向用户计算机植入恶意代码</p> <p>被植入的恶意代码没有正常的用户卸载功能,也没有常规启动项,电脑每次开机时都会启动和更新恶意代码,恶意代码接收C&C服务器指令,行为受云端控制,并且会通过加载驱动,保护相关的注册表和文件不被删除。</p> <p>因此,这些植入恶意代码的用户电脑成为长期被远程控制的“肉鸡”。</p> <p>该恶意代码被远程启动后,会劫持各种互联网流量,用户的浏览器、首页、导航站都会被劫持,将流量输送给 hao123 导航站。同时,还会篡改电商网站、网站联盟广告等链接,用以获取这些网站的流量收入分成(详情在本报告第二章)。</p> <p>综上所述,该恶意代码本身以及通过下载器植入用户电脑的行为,同时符合安全行业通行的若干个恶意代码定义标准,因此,火绒将这一恶意代码家族命名为 “Rogue/NetReaper”(中文名:流量收割者)。升级到“火绒安全软件”最新版本,即可全面查杀、清除该类恶意代码。</p> <p style="text-align:center"><img alt="百度承认旗下网站藏恶意代码:外包植入为了骗分成 已报案" src="https://simg.open-open.com/show/42edce8acda1fd57864b9482ac15597e.jpg" /><br /> 图2、火绒安全软件检测结果</p> <p><strong>二、 主要劫持行为描述</strong></p> <p>用户在这两个下载站下载软件后,电脑即被植入“Rogue/NetReaper”恶意代码,在长期的潜伏期过程中,电脑可能发生如下流量劫持情况(按地域和时间等因素云控劫持,或者随机劫持):</p> <p>1. 导航站劫持:当用户访问其他导航站时,会被劫持到百度 hao123 导航站。</p> <p>包括 360、QQ、2345、搜狗、猎豹、114la、瑞星……等导航站都会被劫持,劫持后的 hao123 网址带有百度联盟的推广计费名。</p> <p style="text-align:center"><img alt="百度承认旗下网站藏恶意代码:外包植入为了骗分成 已报案" src="https://simg.open-open.com/show/1e34d41d166720542d81cea7db1baa7e.png" /><br /> 图3、常见导航站被直接为 hao123</p> <p>2. 首页劫持:把用户电脑首页修改为 hao123 导航站。</p> <p>使用 IE 浏览器的用户,其首页被修改为 hao123 导航站,并通过百度联盟计费名统计流量。</p> <p>3. 浏览器劫持:360 浏览器替换成 IE 浏览器或者假 IE 浏览器。</p> <p>当发现用户使用 360 安全浏览器或 360 极速浏览器时,默认浏览器被修改为 IE 浏览器,或者修改为假 IE 浏览器,以躲避安全软件的浏览器保护。无论怎样,被替换后首页都会变成 hao123 导航站,并通过百度联盟计费名统计流量。</p> <p>4. 网盟广告劫持:将百度网盟其他渠道计费名换成渠道商猎豹(金山毒霸)。</p> <p>百度网盟有许多渠道商,这些渠道商都将流量售卖给百度网盟,这个劫持行为是将其他渠道商的推广计费名换成金山的,这样的话,本来应该属于其他渠道的百度网盟推广费用,就被猎豹获得,猎豹再向恶意代码制作者分钱。</p> <p style="text-align:center"><img alt="百度承认旗下网站藏恶意代码:外包植入为了骗分成 已报案" src="https://simg.open-open.com/show/2ff50c780c7febe3cbc84aca2b907008.png" /></p> <p>5. 电商流量劫持:使用 IE 浏览器访问京东等电商网站时,先跳转到电商导流网站站,然后再跳转回该电商网站。</p> <p>先跳转到电商导流网站妖猴网(www.xmonkey.com),再返回原购物网站之后,电商网站链接就加上了妖猴网的计费名,电商网站就会按照流量向妖猴网支付推广费用,妖猴网再向恶意代码制作者分钱。</p> <p style="text-align:center"><img alt="百度承认旗下网站藏恶意代码:外包植入为了骗分成 已报案" src="https://simg.open-open.com/show/3b03ee88098d24f6ce6f52eb2f0d6aef.jpg" /><br /> 图5、访问电商网站时会跳转到电商导流网站</p> <p><strong>三、概要分析</strong></p> <p>执行任意从 soft.hao123.com 下载到的下载器,不需要进行任何操作,恶意代码就会植入用户计算机。使用火绒剑可以监控植入恶意代码的整个过程,如下图:</p> <p style="text-align:center"><img alt="百度承认旗下网站藏恶意代码:外包植入为了骗分成 已报案" src="https://simg.open-open.com/show/623207d6c7a1d509589cd116a1ca1af8.jpg" /></p> <p><strong>恶意代码首次植入用户计算机流程:</strong></p> <p>1. 下载器执行释放的 nvMultitask.exe。目前下载器包含的 nvMultitask.exe 是 0.2.0.1 版本,该版本仅会在用户计算机上植入部分恶意代码,如下:</p> <p>a) 3.2.0.1 版的 HSoftDoloEx.exe</p> <p>b) 1.7.0.1 版的 bime.dll</p> <p>c) 0.4.0.130 版的 LcScience.sys</p> <p>d) 0.5.30.70 版的 WaNdFilter.sys</p> <p>e) 1.0.0.1020 版的 npjuziplugin.dll</p> <p>2. 植入恶意代码成功后 nvMultitask.exe 使用命令行参数“-inject=install”执行 HSoftDoloEx.exe</p> <p>3. 启动的 HSoftDoloEx.exe 链接C&C服务器(update.123juzi.net/update.php)进行更新,更新的恶意组件将在下次计算机启动后被激活</p> <p><strong>每次计算机重启,恶意代码都会启动和检查更新:</strong></p> <p>经过几次更新之后,nvMultitask.exe 的会升级到当前最新版本 3.2.0.4,后续分析将会以这个版本展开。</p> <p><strong>最新版本的恶意组件在用户每次开机后都会执行以下流程:</strong></p> <p>1. LcScience.sys 注册进程和映像加载回调将 bime.dll 分别注入 services.exe、explorer.exe、iexplore.exe 和其他第三方浏览器进程。</p> <p>2. 注入 services.exe 中的 bime.dll 负责启动 HSoftDoloEx.exe</p> <p>1) HSoftDoloEx.exe 链接C&C服务器(update.123juzi.net/update.php)检测更新。</p> <p>2) HSoftDoloEx.exe 链接C&C服务器(update.qyllq.com/getupfs2.php),获取流量劫持指令。(后续章节进行详细分析)</p> <p>3. 注入 explorer.exe 中的 bime.dll 负责在执行 5 分钟后链接C&C服务器(update.123juzi.net/ccl.php)下载并加载恶意代码 svcprotect.dat 到 explorer.exe。</p> <p>4. svcprotect.dat(1.0.0.11)加载后释放两个全新的流量劫持模块:</p> <p>1)5.0.0.1 版的 iexplorer_helper.dat</p> <p>2)1.5.9.1098 版的 iexplore.exe</p> <p style="text-align:center"><img alt="百度承认旗下网站藏恶意代码:外包植入为了骗分成 已报案" src="https://simg.open-open.com/show/da3edadcfbeb905d7e12dd7e305acdd8.jpg" /><br /> 图 7、恶意代码植入用户计算机流程</p> <p>1. 5.9.1098 版的 iexplore.exe 是一个伪装系统名称的假 IE 浏览器,我们把这个文件上传到 VirusTotal 后发现,很多安全软件检测此文件是病毒,如图:</p> <p style="text-align:center"><img alt="百度承认旗下网站藏恶意代码:外包植入为了骗分成 已报案" src="https://simg.open-open.com/show/bc36de019d644b736837d9098dc1576d.jpg" /><br /> 图 8、Virustotal 检测的结果</p> <p style="text-align:center"><img alt="百度承认旗下网站藏恶意代码:外包植入为了骗分成 已报案" src="https://simg.open-open.com/show/eec48ca65b3d559c61e149aee8184e42.jpg" /><br /> 图 9、恶意代码包含百度签名</p> <p><strong>最终在用户计算机中所有包含恶意代码的文件如下:</strong></p> <p>安装目录</p> <p>安装文件</p> <p>%HOMEPATH% \AppData\Roaming\HSoftDoloEx</p> <p>x86、x64</p> <p>HSoftDoloEx.exe(3.2.0.4)</p> <p>x86</p> <p>bime.dll(1.7.0.5)</p> <p>x64</p> <p>bime64.dll(1.7.0.5)</p> <p>%Drivers%</p> <p>x86</p> <p>LcScience.sys(0.4.0.130)</p> <p>WaNdFilter.sys(0.5.30.70)</p> <p>MsVwmlbkgn.sys(0.6.60.70)</p> <p>x64</p> <p>LcScience64.sys(0.4.0.130)</p> <p>WaNdFilter64.sys(0.5.30.70)</p> <p>MsVwmlbkgn64.sys(0.6.60.70)</p> <p>%HOMEPATH%\AppData\Local\Internet Explorer</p> <p>x86、x64</p> <p>iexplorer_helper.dat(5.0.0.1)</p> <p>%HOMEPATH%\AppData\Local\ProgramData</p> <p>x86</p> <p>svcprotect_32_1.0.0.11.dat(1.0.0.11)</p> <p>x64</p> <p>svcprotect_64_1.0.0.11.dat(1.0.0.11)</p> <p>%HOMEPATH%\AppData\Roaming\{E233850D-5D6E-48E3-98B5-8049F7E9FC68}</p> <p>x86、x64</p> <p>iexplore.exe(1.5.9.1098)</p> <p>%HOMEPATH% \AppData\LocalLow\JuziPlugin\1.0.0.1020</p> <p>x86、x64</p> <p>npjuziplugin.dll(1.0.0.1020)</p> <p>来自: <a href="/misc/goto?guid=4959001143553714557" id="link_source2">网易科技</a></p>