2017年3月2日星期四

阅收藏:百度旗下下载站被发现隐藏恶意代码

via Solidot
中国安全公司火绒发表报告称,百度旗下下载站 www.skycn.net 和 soft.hao123.com 下载任何软件时,都会被植入恶意代码。该恶意代码进入电脑后,会通过加载驱动等各种手段防止被卸载,进而长期潜伏,并随时可以被 “云端” 远程操控,用来劫持导航站、电商网站、广告联盟等各种流量。报告称,他们从浏览器被劫持的用户电脑里提取到多个和流量劫持相关的可疑文件,这些可疑文件均包含百度签名。包含恶意代码的可疑文件,被定位到一个名叫 nvMultitask.exe 的释放器上,当用户在百度的两个下载站下载任何软件时,都会被捆绑下载该释放器,进而向用户电脑植入这些可疑文件。下载器运行后会立即在后台静默释放和执行释放器 nvMultitask.exe,植入恶意代码,即使用户不做任何操作直接关闭下载器,恶意代码也会被植入。根据分析和溯源,最迟到 2016 年 9 月,这些恶意代码即被制作完成。而操纵流量劫持的 “远程开关” 于近期被开启,被感染的电脑会被按照区域和时段等条件,或者是随机地被 “选择” 出来,进行流量劫持——安全业界称之为 “云控劫持”。在火绒发表报告后,百度采取行动移除了恶意代码。

没有评论: