設為首頁 頭部信息

百度旗下網站藏惡意代碼被曝光 陸奇是否愿意背鍋

2017-03-01 14:43:09 來源:中國現代網

  就在今天下午,剛剛由國內知名安全實驗室——火絨發布的一份詳盡報告顯示:百度旗下的http://www.skycn.net/和 http://soft.hao123.com/兩個網站,經核實用戶在下載任何軟件時,都會被植入惡意代碼。

  火絨安全實驗室提示公眾:該惡意代碼進入電腦后,會通過加載驅動等各種手段防止被卸載,進而長期潛伏,并隨時可以被“云端”遠程操控,用來劫持導航站、電商網站、廣告聯盟等各種流量。

  懂懂筆記檢索資料,發現上述兩個網站都是百度公司十幾年前就完成收購的。其中2004 年 08 月,百度收購好 123 網址之家;2006年5月,百度以3000萬元人民幣的價格完成了對天空軟件的最終收購。

  可以說,目前新上任的百度董事會副主席陸奇,除了要面對前不久百度公司不盡人意的新一季財報,還要面對過去百度公司旗下這些資產或者說業務遺留的大問題:百度要發力人工智能,以人工智能更好的為用戶服務的理念,如何對應旗下這兩個網站,在過去多年來對用戶所做的“惡意”的智能?

  針對百度旗下網站被曝光事件,懂懂筆記第一時間聯絡了火絨聯合創始人馬剛,他對此表示:

  首先:誘導、欺騙、劫持流量是當今國內互聯網的普遍現象,但是這么惡劣的行為,一般是病毒團伙、流氓軟件公司才會做,大公司往往比較狡猾,不會直接做到“惡意代碼”這個級別。

  其次,這種行為應該不是在收購前的事情,因為那時候完全不是現在的行業狀況。

  這種行為等于長期劫持用戶電腦,替換修改用戶的瀏覽器、首頁等,干擾用戶正常使用電腦,還有就是,很可能出現跟其他軟件做攻防,導致電腦運行故障等情況。

  最后,他提醒公眾注意自身信息安全?;鸾q日常的安全報告平均每個月發布一期,之前也揭露過數家商業公司制造病毒和流氓軟件。普通用戶總要上下載站下載軟件的,沒有辦法預防。行業的發展只能是安全廠商盯緊這種事件,真實、及時地攔截、查殺并通報這些安全威脅。

  注:火絨安全實驗室發布的部分原文如下,因報告過長,更多內容請登陸火絨安全實驗室網站查閱。

  一、 概述

  經火絨安全實驗室截獲、分析、追蹤并驗證,當用戶從百度旗下的http://www.skycn.net/和 http://soft.hao123.com/這兩個網站下載任何軟件時,都會被植入惡意代碼。該惡意代碼進入電腦后,會通過加載驅動等各種手段防止被卸載,進而長期潛伏,并隨時可以被“云端”遠程操控,用來劫持導航站、電商網站、廣告聯盟等各種流量。

  火絨實驗室近期接到數名電腦瀏覽器被劫持的用戶求助,在分析被感染電腦時,提取到多個和流量劫持相關的可疑文件:HSoftDoloEx.exe 、bime.dll 、MsVwmlbkgn.sys、LcScience.sys、WaNdFilter.sys,這些可疑文件均包含百度簽名。

  這些包含惡意代碼的可疑文件,被定位到一個名叫nvMultitask.exe的釋放器上,當用戶在http://www.skycn.net/和http://soft.hao123.com/這兩個下載站下載任何軟件時,都會被捆綁下載該釋放器,進而向用戶電腦植入這些可疑文件。需要強調的是,下載器運行后會立即在后臺靜默釋放和執行釋放器nvMultitask.exe,植入惡意代碼,即使用戶不做任何操作直接關閉下載器,惡意代碼也會被植入。

  根據分析和溯源,最遲到2016年9月,這些惡意代碼即被制作完成。而操縱流量劫持的“遠程開關”于近期被開啟,被感染的電腦會被按照區域和時段等條件,或者是隨機地被“選擇”出來,進行流量劫持——安全業界稱之為“云控劫持”。

  圖 1、下載器向用戶計算機植入惡意代碼

  被植入的惡意代碼沒有正常的用戶卸載功能,也沒有常規啟動項,電腦每次開機時都會啟動和更新惡意代碼,惡意代碼接收C&C服務器指令,行為受云端控制,并且會通過加載驅動,保護相關的注冊表和文件不被刪除。

  因此,這些植入惡意代碼的用戶電腦成為長期被遠程控制的“肉雞”。

  該惡意代碼被遠程啟動后,會劫持各種互聯網流量,用戶的瀏覽器、首頁、導航站都會被劫持,將流量輸送給hao123導航站。同時,還會篡改電商網站、網站聯盟廣告等鏈接,用以獲取這些網站的流量收入分成(詳情在本報告第二章)。

  綜上所述,該惡意代碼本身以及通過下載器植入用戶電腦的行為,同時符合安全行業通行的若干個惡意代碼定義標準,因此,火絨將這一惡意代碼家族命名為“Rogue/NetReaper”(中文名:流量收割者)。升級到“火絨安全軟件”最新版本,即可全面查殺、清除該類惡意代碼。

玩弄下属小李漂亮人妻