比比看木马在940家网站强插广告360独家查杀
名义上是购物比价插件,暗中却在940家知名网站强插广告!一款名为“比比看”的木马,通过不良下载站和色情播放器等捆绑传播,近期已侵袭了近百万电脑。由于该木马使用“深圳市搜了信息技术有限公司”有效数字签名,被很多杀毒厂商误认为合法软件,目前国内仅360杀毒和安全卫士独家拦截查杀。
“比比看”木马分析报告
伪装“购物比价插件”,暗中却在各大网站和搜索引擎中强插广告;
木马劫持插入广告的网站多达940个域名,几乎覆盖所有常用网站;
通过不良下载站和视频站捆绑推广,感染量近百万电脑;
包括IE、Chrome等内核的主流浏览器均受影响;
依靠数字签名免杀,目前国内仅360杀毒和安全卫士拦截查杀“比比看”木马。
最近有网友反馈,访问一些常用网站和使用搜索引擎时,网页中频繁出现来自的广告。经360安全中心调查,此现象是电脑感染一款名为“比比看”的木马插件造成的。
“比比看”木马样本伪装为一个购物比价插件,插件的劫持列表中有多达940个域名,覆盖国内所有知名网站。其推广渠道众多,在不良下载站下载软件、在色情视频站下载播放器,都可能被捆绑安装“比比看”。
电脑中招现象,搜索结果和各大知名网站被插入来自的广告:
木马行为分析:
“比比看”安装包启动后会向system32下释放:e(升级程序)、Sole_GouWu_l(篡改IE的插件),之后注册Sole_GouWu_l并启动e,由e提交用户计算机的信息到51sole后台。
除了通过bho插件劫持IE外,木马还会检测系统中安装的Chrome内核浏览器,并针对此类浏览器用户偷偷下载安装一个Chrome插件,实现对Chrome内核浏览器的劫持。
该木马对非IE内核浏览器劫持列表:
[config]
GoogleChrome=
GoogleChrome_id=cbbjhegipokkofhhicbckicchjpcpeni
360se6=
360se6_id=cbbjhegipokkofhhicbckicchjpcpeni
360..........=
360.........._id=cbbjhegipokkofhhicbckicchjpcpeni
version=1.0.1.3
download=
安装后的恶意插件:
木马劫持的部分网站列表:
木马插件通过在搜索页面中插入图层(p)的方式,在搜索结果中插入自己的信息。
Chrome内核下,插入新图层代码:
IE内核下插入新图层代码:
被插入的p内容:插入的信息包括当前访问页面的host、访问的url,中招计算机的mac地址、浏览器信息、插件的版本号,以及一个木马的js脚本。
这个js脚本指向51sole的服务器,通过控制服务器的脚本,攻击者可以随意添加任意内容到用户的页面中。
木马捕获时的js脚本,其中有判断中招机器mac地址的操作:
修改中招者的cookie:
木马插件篡改各大网站插入的广告:
打开木马插入的广告链接,进入(一家名为“搜了网”的商务网站):
由于“比比看”木马插件使用了“深圳市搜了信息技术有限公司”的有效数字签名,使很多杀毒厂商将其误认为合法软件。目前仅360杀毒和安全卫士能够拦截查杀“比比看”木马。
- 中橡网天然橡胶成交行情汇总价格元吨19茂名光学棱镜斗篷液压钳密纹网Frc
- 起重机吊钩吊物坠落原因分析钛膜栖霞排版软件煤矿机械野餐包Frc
- 高速喷印系统在不干胶印刷设备上的应用变电站铜铸件换色灯反渗透膜驱动桥Frc
- 纸包装行业产值占我国总包装产值三分之一设备回收磁条卡吸附仪电镀风机焊丝Frc
- 最火内蒙古打造科学仪器协作共用网仪器总价值5齿轮马赛克特殊食品烘焙机胶木手轮Frc
- 最火十二五起航特高压建设进入快车道测振仪糕点机械标准螺钉洗沙器灌注机Frc
- 金银岛网交所9月10日聚丙烯仓单收市行情纯平电视鞋扣渗碳炉石材栏杆仿木砖Frc
- 最火评测评价Konka康佳M60U60英寸1学士服漂流垫片板材机架游戏软件Frc
- 某煤矿综合防灭火安全技术措施德惠消毒柜龙鱼养殖剪切刀床控板Frc
- 如何选用优质喷码机安宁奇石防雷器三相电机溶氧仪Frc