恶性病毒首次攻破HTTPS防线 劫持百度搜索流量牟利
【快讯】近日，火绒安全团队截获一个由商业软件携带的病毒，并以其载体命名为&净广大师&病毒。在目前广为流行的&流量劫持&类病毒中，该病毒策略高明、技术暴力，强力对抗安全软件，并攻破了业界普遍信赖的HTTPS加密通信协议，让百度等互联网厂商普遍使用的反劫持技术面临严峻挑战。
根据UC用户的求助，火绒团队截获一个新病毒，该病毒通过网络过滤驱动，劫持百度搜索流量牟利，劫持手法十分暴力，致使UC、360、搜狗等几乎所有知名浏览器都无法正常访问百度。根据用户现场调查，并借助&火绒终端威胁情报系统&追踪源头，我们发现该病毒是由一个名为&净广大师&的广告拦截软件携带和释放的。
这是火绒团队截获的首个突破HTTPS协议劫持流量的恶性病毒，而在其官网上我们看到，该软件竟然通过了国内外多家安全厂商的认证，如下图红框中所示：
&净广大师&软件安装后，会释放一个名为rtdxftex.sys的驱动程序，该驱动程序具有很强的内核级对抗能力。被感染之初，用户不会感觉到任何异样，但该病毒驱动文件名会随着重启不断变换，以此来躲避安全厂商的截杀和代码分析。即使&净广大师&被卸载，该病毒功能依然会随机激活，劫持用户的搜索流量。
更重要的是，该病毒竟然突破了互联网行业普遍信赖的HTTPS加密通信协议，轻松劫持基于HTTPS的百度搜索的流量：
病毒劫持百度搜索页面
该病毒被激活后，会检测访问百度搜索的计费ID，如果非病毒自身的计费ID则无法正常访问百度搜索，使得所有浏览器只能访问带有病毒计费ID的百度搜索页面。如下图所示：
非病毒计费号访问百度展示图
该病毒除网络过滤外，还通过文件过滤驱动阻止其他程序对其驱动文件进行访问，在打开该驱动文件信息时无法得到该文件的完整信息。如下图所示：
病毒驱动信息（左为病毒加载后截图、右为实际文件信息）
病毒签名信息
&火绒安全软件&已经升级，全面拦截和查杀该病毒及其载体&净广大师&软件。针对已经被感染用户，&火绒恶性木马专杀工具&可以彻底清除已经释放的病毒驱动程序，如图所示：
请广大用户尽快安装&火绒安全软件&拦截、查杀该病毒，如果怀疑电脑已经被感染，则先下载使用火绒专杀工具，彻底清除病毒驱动程序。
火绒安全团队将继续追踪查杀该病毒可能出现的变种，如果您的浏览器有被该病毒感染的症状（各种浏览器都失效），请到火绒论坛反馈情况。
&火绒安全软件&&下载地址：
&火绒恶性木马专杀工具&下载地址：
官方微博/微信
每日头条、业界资讯、热点资讯、八卦爆料，全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与，TechWeb官方微博期待您的关注。
↑扫描二维码
想在手机上看科技资讯和科技八卦吗？想第一时间看独家爆料和深度报道吗？请关注TechWeb官方微信公众帐号：1.用手机扫左侧二维码；2.在添加朋友里，搜索关注TechWeb。
相关的资讯有：
相关的博文有：
根据不完全统计，9月12日在Steve Jobs Theater地下，iPhone X的平均上手时间是1小时，...
10月25日，小米推出了红色特别版小米5X，售价与其它版本保持一致，1499元。经过近一周...
今天已经是11月1号了，双11还会远吗？甚至在部分电商平台，双11活动已经提前开始了。...
监管文件显示，科斯罗萨西周四通知纽约时报公司董事会，他将因为出任Uber的新职位而卸...
北京时间10月30日早间消息，Uber上周五宣布任命一名新的首席法务官，帮助该公司应对诸...
一名美国法官已责令进行一项新的审判，目的是判定三星应因其抄袭苹果公司iPhone外观设...
在公开场合进行PPT演讲需要最大程度的避免错漏，不然结果会非常尴尬。据外媒报道，You...
除了 iOS 11.1 的正式版以外，我们在今天凌晨还迎来了 watchOS 4.1 的正式版，Apple W...
在2015年推出时，Windows 10提供了1年的免费升级期，只要是Windows 7/8.1正版用户，都...
奇迹暖暖抓不住俏皮的你是搭配评选赛10月31日至11月4日的搭配主题，那么高赞怎么搭配......
阴阳师11月1日更新维护之后，山兔大暴走竞速副本将开启，并且新的R式神数珠将上线.......
王者荣耀11月近期有不少的英雄重做，重做英雄包括张良、马可波罗、女娲、项羽、干将莫......
《绝地求生大逃杀》中的四排是需要有一些战术策略的，这样团队合作才能发挥出较好的效......
Copyright (C)
All rights reserved.
请选择一张图片分享
要转发到新浪微博，请
要转发到QQ空间，请继Petya勒索病毒后，国内爆发大规模劫持攻击
不久前，Petya勒索病毒变种在乌克兰爆发，并蔓延到欧洲多个国家的大型企业。病毒攻击的根源是劫持了乌克兰专用会计软件me-doc的升级程序，使用户更新软件时感染病毒，从而对众多企业的系统和数据造成惨重损失。
劫持软件升级“投毒”并不是新鲜的攻击手法，国内也屡有发生。但就在Petya勒索病毒变种轰动全球后短短数天时间内，山东、山西、福建、浙江等多省的软件升级劫持达到空前规模！
尽管国内的软件升级劫持目前仅仅被利用流氓推广软件，但是大规模的网络劫持、大量缺乏安全升级机制的软件，如果再加上“商业模式”非常成熟的勒索病毒，无疑会造成灾难性后果。
近期有多款软件用户密集反映360“误报了软件的升级程序”，但事实上，这些软件的升级程序已经被不法分子恶意替换。
下图就是一例爱奇艺客户端升级程序被劫持的下载过程：可以看到服务器返回了302跳转，把下载地址指向了一个并不属于爱奇艺的CDN服务器地址，导致下载回来的安装包变为被不法分子篡改过的推广程序。
图1 遭302跳转劫持的下载链接
此次被劫持升级程序的流行软件远不止爱奇艺一家，下图就是一些由于网络劫持而出现的“假软件”。
图2 被网络劫持替换的“假软件”
以下，我们以伪造的百度网盘安装程序 “BaiduNetdisk_5.5.4.exe”为例分析一下恶意程序的行为。
与正常的安装程序相比，该程序不具备合法的数字签名，并且体积较大。
图3 被篡改的伪装安装程序
图4 正常的安装程序
通过对比可以发现，两者在内容上还是有较大差别。两者只有8.7%的函数内容相同。
图5 伪装安装程序和正常安装程序函数对比
程序最初执行时会从从资源段中释放一个PE文件并执行，该文件就是程序所伪装的正常安装包。因此，该伪装程序是在运行正常安装包的同时静默安装其他推广程序。在正常安装包运行时，本程序会读取bjftzt.站点的子目录下的一个dat文件的内容，dat文件路径根据安装程序不同而不同，本文分析的程序“BaiduNetdisk_5.5.4.exe”所读取的是bjftzt./upc/A7BFA30BFBD.dat。程序请求数据包内容如下图所示：
图6 请求数据包内容
所读取的dat文件的内容如下图所示：
图7 dat文件内容
dat文件中的内容经过+DES加密。DES密钥经过简单加密后硬编码在程序中，下图展示了DES密钥的解密过程：
图8 DES密钥解密过程
解密后得到的DES密钥为“eh9ji8pf”。经分析发现多款伪装程序使用同一个DES密钥。
之后程序对dat文件的内容进行+DES解密，解密函数如下图所示：
图9 解密函数
解密后得到的文件内容如下图所示。不难看出，文件内容为一个配置列表，列表中包括多个需要推广的应用程序名称、应用程序下载链接、程序启动参数、卸载对应的注册表项等信息：
图10 解密后的dat文件内容
之后程序会从配置列表中选取一个推广程序的下载链接，下载推广程序并安装在受害者电脑上：
图11 下载推广程序的请求包内容
而以上流氓推广行为完成后，安装包会回归到原始的正常安装流程，以此来掩人耳目。
该劫持行为从今年3月底就已经开始出现，7月4日，此类攻击行为出现了一定程度下降。
图12 网络劫持量走势
根据已有数据统计显示，受到此次劫持事件影响的用户已经超过百万。而这些被劫持的用户绝大多数来自于山东地区。另外，山西、福建、浙江、新疆、河南等地也有一定规模爆发。
图13 被劫持用户地域分布
在此提醒各大软件厂商，软件更新尽量采用https加密传输的方式进行升级，以防被网络劫持恶意利用。
责任编辑：
声明：本文由入驻搜狐号的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。
今日搜狐热点查看:7809|回复：12
自动跳转到 &&该怎么办？不重装系统能解决吗？?
还请高手指点。
论坛首席记者
你应该是装了啥插件了吧，用windows清理助手试试
菜刀在手，问天下谁是英雄
引用:原帖由 好像好像的 于
16:46 发表
嘻嘻。。。。。。。。。。。。。 嘻嘻是不是就能解决啊，^_^
因为现在大量免费的软件以及游戏类软件都存在这样的不良行为，所以难以判断准确的是你的哪个软件导致
一般自己试就是去一个一个卸载电脑内所有非微软的软件。
卸载一个重启一次电脑试试是否还跳转。
家用小路由器的WAN口是固化NAT转换的，单向，只向上转，无法将WAN口来的访问转向LAN口下面。不支持WAN口前面的任何静态路由跳转。
建议拿胶布封闭小路由器WAN口，网线改插小路由器LAN口，关闭小路由器的DHCP服务，当交换机用。坚决使用WAN口的话，就只能那样了。
关于DMZ打印机，请看这里“”6楼看看。
初级工程师
如果是原版系统（不是网络流传的GHOST版）安装后，硬件驱动是官方下载的，没有装第三方软件，访问被自动跳转，那么就是运营商劫持了你的主页。
引用:原帖由 redhat9i 于
17:35 发表
你应该是装了啥插件了吧，用windows清理助手试试 windows清理助手不管用
助理工程师
打开的是一个界面呀
运行注册表，搜素
然后把搜到的所有值改为
优秀技术经理
引用:原帖由 redhat9i 于
17:35 发表
你应该是装了啥插件了吧，用windows清理助手试试 我最近也经常出现这个情况。打开hao123，过一会就跳转到另外一个hao123页面
使命的召唤-全能IT艺术家 ...
有一个叫HijackThis的软件可以能够扫描注册表和硬盘上的特定文件，找到一些恶意程序“劫持”浏览器的入口。
一剑舞动惊四方，IT本是我所长 (R)丁胖胖
初级工程师
清理插件，更换浏览器！
好多 浏览器都被劫持了 ，这是百度家的东西桌面图标劫持病毒手动清除修复实例！附工具！ - 书籍教程 - 偶要下载站
偶要下载站 / 绿色软件下载联盟站！为大家提供一手绿色软件下载服务！
当前位置： &
桌面图标劫持病毒手动清除修复实例！附工具！
首先发布软件！一共3款小工具，大家自己下载附件如下：
1：有些恶意程序会修复注册表相关键项的权限，因此，请先使用下列工具先进行注册表权限恢复。
2：清理桌面图标，清理掉无效的桌面快键方式
3：修复桌面图标，批处理，请按步骤进行操作！！
说明：一般出现电脑桌面图标被劫持现象，这是因为病毒或者恶意插件造成的，首先通过金山急救箱或者WINDOWS清理助手进行清理，清理一次，然后再用上面的小工具，按顺序进行操作！应该就修复好了！完美修复恶意程序会不断地劫持IE图标、主页，还发展到劫持我的电脑、网上邻居、等问题！
偶要下载站集绿色软件下载、手机软件与游戏、各种素材、字体下载于一身的联盟网站，致力打造一个纯绿色软件下载乐园。
本站为非营利性网站，中国绿色联盟提供的资源均来自网络收集整理,下载个人纯属学习交流之用,如有侵犯您的版权请与我联系,我们会马上改正请在下载24小时内删除！
Copyright (C)
偶要下载() All Rights Reserved. 鲁ICP备号 鲁公网安备74号