比比看木马在940家网站强插广告360独家查杀

名义上是购物比价插件，暗中却在940家知名网站强插广告！一款名为“比比看”的木马，通过不良下载站和色情播放器等捆绑传播，近期已侵袭了近百万电脑。由于该木马使用“深圳市搜了信息技术有限公司”有效数字签名，被很多杀毒厂商误认为合法软件，目前国内仅360杀毒和安全卫士独家拦截查杀。

“比比看”木马分析报告

伪装“购物比价插件”，暗中却在各大网站和搜索引擎中强插广告；

木马劫持插入广告的网站多达940个域名，几乎覆盖所有常用网站；

通过不良下载站和视频站捆绑推广，感染量近百万电脑；

包括IE、Chrome等内核的主流浏览器均受影响；

依靠数字签名免杀，目前国内仅360杀毒和安全卫士拦截查杀“比比看”木马。

最近有网友反馈，访问一些常用网站和使用搜索引擎时，网页中频繁出现来自的广告。经360安全中心调查，此现象是电脑感染一款名为“比比看”的木马插件造成的。

“比比看”木马样本伪装为一个购物比价插件，插件的劫持列表中有多达940个域名，覆盖国内所有知名网站。其推广渠道众多，在不良下载站下载软件、在色情视频站下载播放器，都可能被捆绑安装“比比看”。

电脑中招现象，搜索结果和各大知名网站被插入来自的广告：

木马行为分析：

“比比看”安装包启动后会向system32下释放：e（升级程序）、Sole_GouWu_l（篡改IE的插件），之后注册Sole_GouWu_l并启动e，由e提交用户计算机的信息到51sole后台。

除了通过bho插件劫持IE外，木马还会检测系统中安装的Chrome内核浏览器，并针对此类浏览器用户偷偷下载安装一个Chrome插件，实现对Chrome内核浏览器的劫持。

该木马对非IE内核浏览器劫持列表：

[config]

GoogleChrome=

GoogleChrome_id=cbbjhegipokkofhhicbckicchjpcpeni

360se6=

360se6_id=cbbjhegipokkofhhicbckicchjpcpeni

360..........=

360.........._id=cbbjhegipokkofhhicbckicchjpcpeni

version=1.0.1.3

download=

安装后的恶意插件：

木马劫持的部分网站列表：

木马插件通过在搜索页面中插入图层（p）的方式，在搜索结果中插入自己的信息。

Chrome内核下，插入新图层代码：

IE内核下插入新图层代码：

被插入的p内容：插入的信息包括当前访问页面的host、访问的url，中招计算机的mac地址、浏览器信息、插件的版本号，以及一个木马的js脚本。

这个js脚本指向51sole的服务器，通过控制服务器的脚本，攻击者可以随意添加任意内容到用户的页面中。

木马捕获时的js脚本，其中有判断中招机器mac地址的操作：

修改中招者的cookie：

木马插件篡改各大网站插入的广告：

打开木马插入的广告链接，进入（一家名为“搜了网”的商务网站）：

由于“比比看”木马插件使用了“深圳市搜了信息技术有限公司”的有效数字签名，使很多杀毒厂商将其误认为合法软件。目前仅360杀毒和安全卫士能够拦截查杀“比比看”木马。

挂号怎么预约

名医汇

名医汇