百度承認旗下網(wǎng)站暗藏惡意代碼:外包團隊干的 已報案

來源:網(wǎng)絡(luò) 時間:2017-03-06 13:48:49

百度承認旗下網(wǎng)站暗藏惡意代碼:外包團隊干的 已報案

騰訊科技訊 3月3日,百度方面通過旗下微博認證帳號“Hao123”發(fā)出《關(guān)于“百度旗下網(wǎng)站暗藏惡意代碼”事件的調(diào)查說明》,對于此前第三方安全機構(gòu)火絨安全實驗室的爆料信息進行了回應(yīng),Hao123在回應(yīng)中承認問題真實存在,并致歉用戶。

今年2月28日,火絨安全實驗室發(fā)布報告《百度旗下網(wǎng)站暗藏惡意代碼 劫持用戶電腦瘋狂“收割”流量》,稱經(jīng)火絨安全實驗室截獲、分析、追蹤并驗證,當用戶從百度旗下的http://www.skycn.net/和 http://soft.Hao123.com/這兩個網(wǎng)站下載任何軟件時,都會被植入惡意代碼。該惡意代碼進入電腦后,會通過加載驅(qū)動等各種手段防止被卸載,進而長期潛伏,并隨時可以被“云端”遠程操控,用來劫持導航站、電商網(wǎng)站、廣告聯(lián)盟等各種流量。

火絨實驗室表示,近期接到數(shù)名電腦瀏覽器被劫持的用戶求助,在分析被感染電腦時,提取到多個和流量劫持相關(guān)的可疑文件:HSoftDoloEx.exe 、bime.dll 、MsVwmlbkgn.sys、LcScience.sys、WaNdFilter.sys,這些可疑文件均包含百度簽名。

這些包含惡意代碼的可疑文件,被定位到一個名叫nvMultitask.exe的釋放器上,當用戶在http://www.skycn.net/和http://soft.Hao123.com/這兩個下載站下載任何軟件時,都會被捆綁下載該釋放器,進而向用戶電腦植入這些可疑文件。需要強調(diào)的是,下載器運行后會立即在后臺靜默釋放和執(zhí)行釋放器nvMultitask.exe,植入惡意代碼,即使用戶不做任何操作直接關(guān)閉下載器,惡意代碼也會被植入。

根據(jù)分析和溯源,最遲到2016年9月,這些惡意代碼即被制作完成。而操縱流量劫持的“遠程開關(guān)”于近期被開啟,被感染的電腦會被按照區(qū)域和時段等條件,或者是隨機地被“選擇”出來,進行流量劫持——安全業(yè)界稱之為“云控劫持”。

對于火絨實驗室的爆料,Hao123在今日進行了回應(yīng)并表示,火絨實驗室曝出相關(guān)信息后,百度在第一時間進行了緊急排查,并發(fā)現(xiàn)問題確實存在,被影響的電腦會出現(xiàn)瀏覽器、網(wǎng)址導航被劫持等使用問題,還篡改、偽裝網(wǎng)站聯(lián)盟鏈接,騙取百度流量收入分成。

Hao123透露,目前掌握的情況有:

1.上述網(wǎng)址提供的Hao123軟件下載器,系第三方外包團隊開發(fā),在下載平臺中植入了存在風險的驅(qū)動程序,涉嫌被網(wǎng)絡(luò)黑產(chǎn)利用,以騙取百度聯(lián)盟分成為目的,劫持用戶流量,傷害用戶體驗,從中非法牟利;

2.接到舉報后,Hao123第一時間清楚所有受感染的下載器,并將查殺信息同步提供給了騰訊、360、綠盟等安全廠商,并開發(fā)專殺工具,全面查殺、清除該類惡意代碼,預計用戶在3月4日后可從Hao123網(wǎng)站首頁下載使用;

3.Hao123方面已就此事向公安機關(guān)報案,將協(xié)助監(jiān)管部門后續(xù)跟進;

4.百度承諾加強監(jiān)管機制,杜絕該類事件再發(fā)生。

對于后續(xù)進展,百度方面對騰訊科技表示,已經(jīng)向公安機關(guān)報案,為不干擾警方辦案,因此將不再透露任何信息。

繼續(xù)閱讀與本文標簽相同的文章

分享至:

你可能感興趣 換一換

分享到微信朋友圈 ×
打開微信,
使用“掃一掃”即可將網(wǎng)頁分享至朋友圈。