今晚百度移动搜索故障 ,百度搜索移动端无法正常使用,输入内容后搜索显示访问页面不存在。
导致该问题原因可能由于旗下网站暗藏恶意代码 ,早些时候火绒安全,爆出该问题,文章内容如下:
一、概述
火绒实验室近期接到数名电脑浏览器被劫持的用户求助,在分析被感染电脑时,提取到多个和流量劫持相关的可疑文件:HSoftDoloEx.exe 、bime.dll 、MsVwmlbkgn.sys、LcScience.sys、WaNdFilter.sys,这些可疑文件均包含百度签名。 根据分析和溯源,最迟到2016年9月,这些恶意代码即被制作完成。而操纵流量劫持的“远程开关”于近期被开启,被感染的电脑会被按照区域和时段等条件,或者是随机地被“选择”出来,进行流量劫持——安全业界称之为“云控劫持”。
被植入的恶意代码没有正常的用户卸载功能,也没有常规启动项,电脑每次开机时都会启动和更新恶意代码,恶意代码接收C&C服务器指令,行为受云端控制,并且会通过加载驱动,保护相关的注册表和文件不被删除。 因此,这些植入恶意代码的用户电脑成为长期被远程控制的“肉鸡”。 该恶意代码被远程启动后,会劫持各种互联网流量,用户的浏览器、首页、导航站都会被劫持,将流量输送给hao123导航站。同时,还会篡改电商网站、网站联盟广告等链接,用以获取这些网站的流量收入分成(详情在本报告第二章)。 综上所述,该恶意代码本身以及通过下载器植入用户电脑的行为,同时符合安全行业通行的若干个恶意代码定义标准,因此,火绒将这一恶意代码家族命名为 “Rogue/NetReaper”(中文名:流量收割者)。升级到“火绒安全软件”最新版本,即可全面查杀、清除该类恶意代码。
二、 主要劫持行为描述 用户在这两个下载站下载软件后,电脑即被植入“Rogue/NetReaper”恶意代码,在长期的潜伏期过程中,电脑可能发生如下流量劫持情况(按地域和时间等因素云控劫持,或者随机劫持): 1.导航站劫持:当用户访问其他导航站时,会被劫持到百度hao123导航站。
包括360、QQ、2345、搜狗、猎豹、114la、瑞星……等导航站都会被劫持,劫持后的hao123网址带有百度联盟的推广计费名。
2.首页劫持:把用户电脑首页修改为hao123导航站。
使用IE浏览器的用户,其首页被修改为hao123导航站,并通过百度联盟计费名统计流量。 3.浏览器劫持:360浏览器替换成IE浏览器或者假IE浏览器。
当发现用户使用360安全浏览器或360极速浏览器时,默认浏览器被修改为IE浏览器,或者修改为假IE浏览器,以躲避安全软件的浏览器保护。无论 怎样,被替换后首页都会变成hao123导航站,并通过百度联盟计费名统计流量。 4.网盟广告劫持:将百度网盟其他渠道计费名换成渠道商猎豹(金山毒霸)。
百度网盟有许多渠道商,这些渠道商都将流量售卖给百度网盟,这个劫持行为是将其他渠道商的推广计费名换成金山的,这样的话,本来应该属于其他渠道的百度网盟推广费用,就被猎豹获得,猎豹再向恶意代码制作者分钱。
5.电商流量劫持:使用IE浏览器访问[url=]京东[/url]等电商网站时,先跳转到电商导流网站站,然后再跳转回该电商网站。
三、概要分析
恶意代码首次植入用户计算机流程: 1.下载器执行释放的nvMultitask.exe。目前下载器包含的nvMultitask.exe是0.2.0.1版本,该版本仅会在用户计算机上植入部分恶意代码,如下: a) 3.2.0.1版的HSoftDoloEx.exe b) 1.7.0.1版的bime.dll c) 0.4.0.130 版的LcScience.sys d) 0.5.30.70 版的WaNdFilter.sys e) 1.0.0.1020版的npjuziplugin.dll 2.植入恶意代码成功后nvMultitask.exe使用命令行参数“-inject=install”执行HSoftDoloEx.exe 每次计算机重启,恶意代码都会启动和检查更新: 经过几次更新之后,nvMultitask.exe的会升级到当前最新版本3.2.0.4,后续分析将会以这个版本展开。 最新版本的恶意组件在用户每次开机后都会执行以下流程: 1.LcScience.sys注册进程和映像加载回调将bime.dll分别注入services.exe、explorer.exe、iexplore.exe和其他第三方浏览器进程。 2.注入services.exe中的bime.dll负责启动HSoftDoloEx.exe 4.svcprotect.dat(1.0.0.11)加载后释放两个全新的流量劫持模块: 1)5.0.0.1版的iexplorer_helper.dat 2)1.5.9.1098版的iexplore.exe
1.5.9.1098版的iexplore.exe是一个伪装系统名称的假IE浏览器,我们把这个文件上传到VirusTotal后发现,很多安全软件检测此文件是病毒,如图:
图 8、Virustotal检测的结果
最终在用户计算机中所有包含恶意代码的文件如下:
有的小伙伴看了半天也没弄明白,“说了这么多,那到底为啥打不开呢?”
答案就是:因为百度太坏!
另外,安全圈大牛赵总(jack)发了个状态:“之前搜索了一下‘凤姐心路历程’,然后百度就打不开了。我颤抖的问一下,是我把百度搞死的吗?谁懂法?问一下我要不要去公安局自首啊?急,在线等……”或许也能完整的解释这一问题。嘿嘿
|