百度承認旗下網站藏惡意代碼：外包植入為了騙分成 已報案

3 月 3 日消息，近日火絨安全實驗室稱百度旗下兩家網站 www.skycn.net 和 soft.hao123.com 暗藏惡意代碼，該惡意代碼進入電腦后，會通過加載驅動等各種手段防止被卸載，進而長期潛伏，并隨時可以被“云端”遠程操控，用來劫持導航站、電商網站、廣告聯盟等各種流量。

對此，百度今日回應稱，經過調查，相關報道真實存在，被影響的電腦會出現瀏覽器、網址導航被劫持的情況，還篡改、偽裝網站聯盟鏈接，騙取百度流量收入分成，對百度造成了品牌和經濟損失。

火絨安全實驗室此前表示，根據分析和溯源，最遲到 2016 年 9 月，這些惡意代碼即被制作完成。而操縱流量劫持的“遠程開關”于近期被開啟，被感染的電腦會被按照區域和時段等條件，或者是隨機地被“選擇”出來，進行流量劫持。被植入的惡意代碼沒有正常的用戶卸載功能，也沒有常規啟動項，電腦每次開機時都會啟動和更新惡意代碼，惡意代碼接收C&C服務器指令，行為受云端控制，并且會通過加載驅動，保護相關的注冊表和文件不被刪除。

因此，這些植入惡意代碼的用戶電腦成為長期被遠程控制的“肉雞”。

百度稱，這兩個網站提供的 Hao123 軟件下載器，系第三方外包團隊開發，在下載平臺中植入了存在風險的驅動程序，涉嫌被網絡黑產利用，以騙取百度聯盟分成為目的，劫持用戶流量，傷害用戶體驗，從中非法謀利。

百度表示，已第一時間清除所有受感染的下載器，確保這兩個網站下載軟件安全可靠。并將相關查殺信息提供給騰訊、360、綠盟等安全廠商，并開發專殺工具，全面查殺，清除該類惡意代碼，預計 3 月 4 日起可在 hao123 首頁下載使用。

百度稱已向公安機關報案，將協助主管部門全面調查。同時將嚴格規范和優化產品管理流程，杜絕此類事情再次發生。（易科）

百度旗下網站被指暗藏惡意代碼瘋狂收割流量

來源：火絨安全公眾號

一、概述

經火絨安全實驗室截獲、分析、追蹤并驗證，當用戶從百度旗下的 www.skycn.net 和 soft.hao123.com 這兩個網站下載任何軟件時，都會被植入惡意代碼。該惡意代碼進入電腦后，會通過加載驅動等各種手段防止被卸載，進而長期潛伏，并隨時可以被“云端”遠程操控，用來劫持導航站、電商網站、廣告聯盟等各種流量。

火絨實驗室近期接到數名電腦瀏覽器被劫持的用戶求助，在分析被感染電腦時，提取到多個和流量劫持相關的可疑文件：HSoftDoloEx.exe 、bime.dll 、MsVwmlbkgn.sys、LcScience.sys、WaNdFilter.sys，這些可疑文件均包含百度簽名。

這些包含惡意代碼的可疑文件，被定位到一個名叫 nvMultitask.exe 的釋放器上，當用戶在 www.skycn.net 和 soft.hao123.com 這兩個下載站下載任何軟件時，都會被捆綁下載該釋放器，進而向用戶電腦植入這些可疑文件。需要強調的是，下載器運行后會立即在后臺靜默釋放和執行釋放器 nvMultitask.exe，植入惡意代碼，即使用戶不做任何操作直接關閉下載器，惡意代碼也會被植入。

根據分析和溯源，最遲到 2016 年 9 月，這些惡意代碼即被制作完成。而操縱流量劫持的“遠程開關”于近期被開啟，被感染的電腦會被按照區域和時段等條件，或者是隨機地被“選擇”出來，進行流量劫持——安全業界稱之為“云控劫持”。

圖1、下載器向用戶計算機植入惡意代碼

被植入的惡意代碼沒有正常的用戶卸載功能，也沒有常規啟動項，電腦每次開機時都會啟動和更新惡意代碼，惡意代碼接收C&C服務器指令，行為受云端控制，并且會通過加載驅動，保護相關的注冊表和文件不被刪除。

因此，這些植入惡意代碼的用戶電腦成為長期被遠程控制的“肉雞”。

該惡意代碼被遠程啟動后，會劫持各種互聯網流量，用戶的瀏覽器、首頁、導航站都會被劫持，將流量輸送給 hao123 導航站。同時，還會篡改電商網站、網站聯盟廣告等鏈接，用以獲取這些網站的流量收入分成（詳情在本報告第二章）。

綜上所述，該惡意代碼本身以及通過下載器植入用戶電腦的行為，同時符合安全行業通行的若干個惡意代碼定義標準，因此，火絨將這一惡意代碼家族命名為 “Rogue/NetReaper”（中文名：流量收割者）。升級到“火絨安全軟件”最新版本，即可全面查殺、清除該類惡意代碼。

圖2、火絨安全軟件檢測結果

二、 主要劫持行為描述

用戶在這兩個下載站下載軟件后，電腦即被植入“Rogue/NetReaper”惡意代碼，在長期的潛伏期過程中，電腦可能發生如下流量劫持情況（按地域和時間等因素云控劫持，或者隨機劫持）：

1. 導航站劫持：當用戶訪問其他導航站時，會被劫持到百度 hao123 導航站。

包括 360、QQ、2345、搜狗、獵豹、114la、瑞星……等導航站都會被劫持，劫持后的 hao123 網址帶有百度聯盟的推廣計費名。

圖3、常見導航站被直接為 hao123

2. 首頁劫持：把用戶電腦首頁修改為 hao123 導航站。

使用 IE 瀏覽器的用戶，其首頁被修改為 hao123 導航站，并通過百度聯盟計費名統計流量。

3. 瀏覽器劫持：360 瀏覽器替換成 IE 瀏覽器或者假 IE 瀏覽器。

當發現用戶使用 360 安全瀏覽器或 360 極速瀏覽器時，默認瀏覽器被修改為 IE 瀏覽器，或者修改為假 IE 瀏覽器，以躲避安全軟件的瀏覽器保護。無論怎樣，被替換后首頁都會變成 hao123 導航站，并通過百度聯盟計費名統計流量。

4. 網盟廣告劫持：將百度網盟其他渠道計費名換成渠道商獵豹（金山毒霸）。

百度網盟有許多渠道商，這些渠道商都將流量售賣給百度網盟，這個劫持行為是將其他渠道商的推廣計費名換成金山的，這樣的話，本來應該屬于其他渠道的百度網盟推廣費用，就被獵豹獲得，獵豹再向惡意代碼制作者分錢。

5. 電商流量劫持：使用 IE 瀏覽器訪問京東等電商網站時，先跳轉到電商導流網站站，然后再跳轉回該電商網站。

先跳轉到電商導流網站妖猴網（www.xmonkey.com），再返回原購物網站之后，電商網站鏈接就加上了妖猴網的計費名，電商網站就會按照流量向妖猴網支付推廣費用，妖猴網再向惡意代碼制作者分錢。

圖5、訪問電商網站時會跳轉到電商導流網站

三、概要分析

執行任意從 soft.hao123.com 下載到的下載器，不需要進行任何操作，惡意代碼就會植入用戶計算機。使用火絨劍可以監控植入惡意代碼的整個過程，如下圖：

惡意代碼首次植入用戶計算機流程：

1. 下載器執行釋放的 nvMultitask.exe。目前下載器包含的 nvMultitask.exe 是 0.2.0.1 版本，該版本僅會在用戶計算機上植入部分惡意代碼，如下：

a) 3.2.0.1 版的 HSoftDoloEx.exe

b) 1.7.0.1 版的 bime.dll

c) 0.4.0.130 版的 LcScience.sys

d) 0.5.30.70 版的 WaNdFilter.sys

e) 1.0.0.1020 版的 npjuziplugin.dll

2. 植入惡意代碼成功后 nvMultitask.exe 使用命令行參數“-inject=install”執行 HSoftDoloEx.exe

3. 啟動的 HSoftDoloEx.exe 鏈接C&C服務器(update.123juzi.net/update.php)進行更新，更新的惡意組件將在下次計算機啟動后被激活

每次計算機重啟，惡意代碼都會啟動和檢查更新：

經過幾次更新之后，nvMultitask.exe 的會升級到當前最新版本 3.2.0.4，后續分析將會以這個版本展開。

最新版本的惡意組件在用戶每次開機后都會執行以下流程：

1. LcScience.sys 注冊進程和映像加載回調將 bime.dll 分別注入 services.exe、explorer.exe、iexplore.exe 和其他第三方瀏覽器進程。

2. 注入 services.exe 中的 bime.dll 負責啟動 HSoftDoloEx.exe

1) HSoftDoloEx.exe 鏈接C&C服務器(update.123juzi.net/update.php)檢測更新。

2) HSoftDoloEx.exe 鏈接C&C服務器(update.qyllq.com/getupfs2.php)，獲取流量劫持指令。（后續章節進行詳細分析）

3. 注入 explorer.exe 中的 bime.dll 負責在執行 5 分鐘后鏈接C&C服務器(update.123juzi.net/ccl.php)下載并加載惡意代碼 svcprotect.dat 到 explorer.exe。

4. svcprotect.dat（1.0.0.11）加載后釋放兩個全新的流量劫持模塊：

1)5.0.0.1 版的 iexplorer_helper.dat

2)1.5.9.1098 版的 iexplore.exe

圖 7、惡意代碼植入用戶計算機流程

1. 5.9.1098 版的 iexplore.exe 是一個偽裝系統名稱的假 IE 瀏覽器，我們把這個文件上傳到 VirusTotal 后發現，很多安全軟件檢測此文件是病毒，如圖：

圖 8、Virustotal 檢測的結果

圖 9、惡意代碼包含百度簽名

最終在用戶計算機中所有包含惡意代碼的文件如下：

安裝目錄

安裝文件

%HOMEPATH%  \AppData\Roaming\HSoftDoloEx

x86、x64

HSoftDoloEx.exe（3.2.0.4）

x86

bime.dll（1.7.0.5）

x64

bime64.dll（1.7.0.5）

%Drivers%

x86

LcScience.sys（0.4.0.130）

WaNdFilter.sys（0.5.30.70）

MsVwmlbkgn.sys（0.6.60.70）

x64

LcScience64.sys（0.4.0.130）

WaNdFilter64.sys（0.5.30.70）

MsVwmlbkgn64.sys（0.6.60.70）

%HOMEPATH%\AppData\Local\Internet  Explorer

x86、x64

iexplorer_helper.dat（5.0.0.1）

%HOMEPATH%\AppData\Local\ProgramData

x86

svcprotect_32_1.0.0.11.dat（1.0.0.11）

x64

svcprotect_64_1.0.0.11.dat（1.0.0.11）

%HOMEPATH%\AppData\Roaming\{E233850D-5D6E-48E3-98B5-8049F7E9FC68}

x86、x64

iexplore.exe（1.5.9.1098）

%HOMEPATH%  \AppData\LocalLow\JuziPlugin\1.0.0.1020

x86、x64

npjuziplugin.dll（1.0.0.1020）

來自: 網易科技