近日,火绒安全实验室揭露了百度旗下两家网站www.skycn.net和soft.hao123.com暗藏恶意代码的消息。这些恶意代码一旦被用户电脑感染,就会通过加载驱动等手段防止被卸载,长期潜伏并随时可以被“云端”远程操控,用来劫持导航站、电商网站、广告联盟等各种流量。 对此,百度官方回应称,经过调查,相关报道真实存在,被影响的电脑会出现浏览器、网址导航被劫持的情况,还篡改、伪装网站联盟链接,骗取百度流量收入分成,对百度造成了品牌和经济损失。火绒安全实验室此前表示,根据分析和溯源,最迟到2016年9月,这些恶意代码即被制作完成。而操纵流量劫持的“远程开关”于近期被开启,被感染的电脑会被按照区域和时段等条件,或者是随机地被“选择”出来,进行流量劫持。被植入的恶意代码没有正常的用户卸载功能,也没有常规启动项,电脑每次开机时都会启动和更新恶意代码,恶意代码接收C&C服务器指令,行为受云端控制,并且会通过加载驱动,保护相关的注册表和文件不被删除。因此,这些植入恶意代码的用户电脑成为长期被远程控制的“肉鸡”。 百度表示,这两个网站提供的Hao123软件下载器,系第三方外包团队开发,在下载平台中植入了存在风险的驱动程序,涉嫌被网络黑产利用,以骗取百度联盟分成为目的,劫持用户流量,伤害用户体验,从中非法谋利。百度表示,已第一时间清除所有受感染的下载器,确保这两个网站下载软件安全可靠。并将相关查杀信息提供给腾讯、360、绿盟等安全厂商,并开发专杀工具,全面查杀,清除该类恶意代码,预计3月4日起可在hao123首页下载使用。百度称已向公安机关报案,将协助主管部门全面调查。同时将严格规范和优化产品管理流程,杜绝此类事情再次发生。(易科) 火绒实验室近期接到数名电脑浏览器被劫持的用户求助,在分析被感染电脑时,提取到多个和流量劫持相关的可疑文件:HSoftDoloEx.exe、bime.dll、MsVwmlbkgn.sys、LcScience.sys、WaNdFilter.sys,这些可疑文件均包含百度签名。 这些包含恶意代码的可疑文件,被定位到一个名叫nvMultitask.exe的释放器上,当用户在www.skycn.net和soft.hao123.com这两个下载站下载任何软件时,都会被捆绑下载该释放器,进而向用户电脑植入这些可疑文件。需要强调的是,下载器运行后会立即在后台静默释放和执行释放器nvMultitask.exe,植入恶意代码,即使用户不做任何操作直接关闭下载器,恶意代码也会被植入。 根据分析和溯源,最迟到2016年9月,这些恶意代码即被制作完成。而操纵流量劫持的“远程开关”于近期被开启,被感染的电脑会被按照区域和时段等条件,或者是随机地被“选择”出来,进行流量劫持——安全业界称之为“云控劫持”。 被植入的恶意代码没有正常的用户卸载功能,也没有常规启动项,电脑每次开机时都会启动和更新恶意代码,恶意代码接收C&C服务器指令,行为受云端控制,并且会通过加载驱动,保护相关的注册表和文件不被删除。 因此,这些植入恶意代码的用户电脑成为长期被远程控制的“肉鸡”。 该恶意代码被远程启动后,会劫持各种互联网流量,用户的浏览器、首页、导航站都会被劫持,将流量输送给hao123导航站。同时,还会篡改电商网站、网站联盟广告等链接,用以获取这些网站的流量收入分成(详情在本报告第二章)。 综上所述,该恶意代码本身以及通过下载器植入用户电脑的行为,同时符合安全行业通行的若干个恶意代码定义标准,因此,火绒将这一恶意代码家族命名为 “Rogue/NetReaper”(中文名:流量收割者)。升级到“火绒安全软件”最新版本,即可全面查杀、清除该类恶意代码。 二、主要劫持行为描述 用户在这两个下载站下载软件后,电脑即被植入“Rogue/NetReaper”恶意代码,在长期的潜伏期过程中,电脑可能发生如下流量劫持情况(按地域和时间等因素云控劫持,或者随机劫持):

  1. 导航站劫持:当用户访问其他导航站时,会被劫持到百度hao123导航站。 内容重构:
  2. 劫持现象概述: 包括360、QQ、2345、搜狗、猎豹、114la、瑞星等导航站,均可能被黑客劫持,劫持后的hao123网址会带有百度联盟的推广计费名。
  3. 首页劫持: 劫持者会将用户电脑的首页修改为hao123导航站,并通过百度联盟计费名统计流量。使用IE浏览器的用户尤其受影响,其首页会被修改为hao123导航站。
  4. 浏览器劫持: 当用户使用360安全浏览器或360极速浏览器时,默认浏览器会被替换为IE浏览器,或者替换为假IE浏览器,以躲避安全软件的保护。无论怎样,被替换后首页都会变成hao123导航站,并通过百度联盟计费名统计流量。
  5. 网盟广告劫持: 劫持行为是将百度网盟其他渠道计费名换成渠道商猎豹(金山毒霸),这样原本属于其他渠道的百度网盟推广费用就被猎豹获得,再由猎豹分给恶意代码制作者。
  6. 电商流量劫持: 使用IE浏览器访问京东等电商网站时,会先跳转到电商导流网站妖猴网,然后再返回原购物网站。通过这种方式,电商网站链接加上了妖猴网的计费名,从而按照流量支付给妖猴网,之后妖猴网再分给恶意代码制作者。 三、概要分析: 执行任意从soft.hao123.com下载到的下载器,无需任何操作,恶意代码就会植入用户计算机。使用火绒剑可以监控植入恶意代码的整个过程。 恶意代码首次植入用户计算机流程:
  7. 下载器执行释放的nvMultitask.exe。目前下载器包含的nvMultitask.exe是0.2.0.1版本,该版本仅会在用户计算机上植入部分恶意代码。
  • a) 3.2.0.1版的HSoftDoloEx.exe
  • b) 1.7.0.1版的bime.dll
  • c) 0.4.0.130版的LcScience.sys
  • d) 0.5.30.70版的WaNdFilter.sys
  • e) 1.0.0.1020版的npjuziplugin.dll
  1. 植入恶意代码成功后,nvMultitask.exe使用命令行参数“-inject=install”执行HSoftDoloEx.exe。 HSoftDoloEx恶意软件分析 最近,我们发现了一种新型的恶意软件——HSoftDoloEx.exe。该软件通过C&C(Command and Control)服务器进行传播和更新,每次计算机重启后都会执行特定的操作。
  2. 启动流程:当用户启动计算机时,HSoftDoloEx.exe首先链接到C&C服务器(update.123juzi.net/update.php),并自动检测是否有可用的更新。一旦发现更新,它将自动下载并安装最新版本的恶意组件。
  3. 恶意行为:在安装新版本的恶意组件后,HSoftDoloEx.exe会注入多个服务和进程,包括services.exe、explorer.exe、iexplore.exe等,并利用这些进程进行流量劫持。此外,它还会在explorer.exe中注入另一个恶意组件svcprotect.dat,并在5分钟后链接到C&C服务器(update.123juzi.net/ccl.php)下载并加载更多恶意代码。
  4. 恶意代码:最终,HSoftDoloEx.exe会将恶意代码存储在用户计算机中的特定位置,包括%HOMEPATH% \AppData\Roaming\HSoftDoloEx、x86、x64目录下。这些文件包括HSoftDoloEx.exe(3.2.0.4版本)、bime.dll(1.7.0.5版本)以及两个不同的bime64.dll文件(1.7.0.5版本)。
  5. 伪装与欺骗:值得注意的是,某些安全软件已经能够检测到这些恶意文件,并将其标记为病毒。这表明HSoftDoloEx.exe采用了一些高级的伪装技术来欺骗用户和安全系统。 综上所述,HSoftDoloEx.exe是一个严重的威胁,它通过复杂的C&C策略和多种恶意行为对用户的计算机系统进行攻击。为了防范此类威胁,建议用户定期使用反病毒软件进行扫描,并保持操作系统和应用程序的最新状态。 MsVwmlbkgn.sys(0.6.60.70) x64 LcScience64.sys(0.4.0.130) WaNdFilter64.sys(0.5.30.70) MsVwmlbkgn64.sys(0.6.60.70) %HOMEPATH%\AppData\Local\Internet Explorer x86、x64 iexplorer_helper.dat(5.0.0.1) %HOMEPATH%\AppData\Local\ProgramData x86 svcprotect_32_1.0.0.11.dat(1.0.0.11) x64 svcprotect_64_1.0.0.11.dat(1.0.0.11) %HOMEPATH%\AppData\Roaming{E233850D-5D6E-48E3-98B5-8049F7E9FC68} x86、x64 iexplore.exe(1.5.9.1098) %HOMEPATH%  \AppData\LocalLow\JuziPlugin\1.0.0.1020 x86、x64 npjuziplugin.dll(1.0.0.1020)