公告:

欢迎访问元元本本博客-关注建站技术、SEO优化、主机服务器、站长学习分享!

净广大师”病毒攻破 HTTPS防线 劫持百度搜索流量牟利

作者:元元本本博客 / 时间:3周前 (11/19) / 分类:电脑教程 / 阅读:34 / 评论:0

近期,火绒团队截获一个由商业软件携带的病毒,并以其载体命名为“净广大师”病毒。在目前广为流行的“流量劫持”类病毒中,该病毒策略高明、技术暴力,并攻破HTTPS的“金钟罩”,让百度等互联网厂商普遍使用的反劫持技术面临严峻挑战。

根据用户反馈,火绒团队截获一个新的劫持类病毒,该病毒通过网络过滤驱动劫持百度搜索流量进行牟利,劫持手法十分暴力,致使UC等知名浏览器甚至无法正常访问百度搜索页面。根据对用户现场调查,并借助“火绒威胁情报系统”追踪源头,我们发现该病毒是由一个名为“净广大师”的广告拦截软件释放并加载的。

“净广大师”软件安装后,会释放一个名为rtdxftex.sys的驱动程序,该驱动程序具有很强的内核级对抗能力。被感染之初,用户不会感觉到任何异样,但该病毒驱动文件名会随着重启不断变换,以此来躲避安全厂商的截杀和代码分析。即使“净广大师”被卸载,该病毒功能依然会随机激活,劫持用户的搜索流量。

更重要的是,该病毒为火绒今年首次截获的突破HTTPS加密通信协议的恶意程序。如下图所示,该病毒可以劫持基于HTTPS的百度搜索的流量:

  
病毒劫持百度搜索页面

该病毒被激活后,会检测访问百度搜索的计费ID,如果非病毒自身的计费ID则无法正常访问百度搜索,使得所有浏览器只能访问带有病毒计费ID的百度搜索页面。如下图所示:
净广大师”病毒攻破 HTTPS防线 劫持百度搜索流量牟利-第1张图片-元元本本 
非病毒计费号访问百度展示图
净广大师”病毒攻破 HTTPS防线 劫持百度搜索流量牟利-第2张图片-元元本本 
  
该病毒除网络过滤外,还通过文件过滤驱动阻止其他程序对其驱动文件进行访问,在打开该驱动文件信息时无法得到该文件的完整信息。如下图所示:
净广大师”病毒攻破 HTTPS防线 劫持百度搜索流量牟利-第3张图片-元元本本 
  
图2、病毒驱动信息(左为病毒加载后截图、右为实际文件信息)
净广大师”病毒攻破 HTTPS防线 劫持百度搜索流量牟利-第4张图片-元元本本 
  
图3、病毒签名信息
净广大师”病毒攻破 HTTPS防线 劫持百度搜索流量牟利-第5张图片-元元本本 
  
“净广大师”的官网自称,该软件通过了多家安全厂商的认证,如下图所示:
净广大师”病毒攻破 HTTPS防线 劫持百度搜索流量牟利-第6张图片-元元本本 
  
“火绒安全软件”已经针对病毒母体“净广大师”软件和官网进行全面的拦截和查杀。针对病毒驱动程序,我们也已经将其相应的清除方法加入到了火绒专杀工具中。如图所示:
净广大师”病毒攻破 HTTPS防线 劫持百度搜索流量牟利-第7张图片-元元本本 

广大用户安装“火绒安全软件”即可对该病毒进行有效拦截查杀,如果已经感染该病毒,建议下载火绒专杀工具对该病毒进行清除。
火绒安全团队将持续追踪查杀该病毒可能出现的变种,如果您的浏览器有被该病毒感染的症状,可以到火绒论坛反馈相关情况。

火绒安全软件下载地址:http://www.huorong.cn/downv4.html
专杀工具下载地址:https://down5.huorong.cn/hrkill.exe

打赏支付宝打赏微信打赏
  • QQ交流群
  • 互相指导
  • 博客主微信
  • 方便沟通

没有评论,留下你的印记,证明你来过。


发表评论:取消回复

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。