鲜枣厂家
免费服务热线

Free service

hotline

010-00000000
鲜枣厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

比比看木马在940家网站强插广告360独家查杀

发布时间:2020-01-14 19:59:46 阅读: 来源:鲜枣厂家

名义上是购物比价插件,暗中却在940家知名网站强插广告!一款名为“比比看”的木马,通过不良下载站和色情播放器等捆绑传播,近期已侵袭了近百万电脑。由于该木马使用“深圳市搜了信息技术有限公司”有效数字签名,被很多杀毒厂商误认为合法软件,目前国内仅360杀毒和安全卫士独家拦截查杀。

“比比看”木马分析报告

伪装“购物比价插件”,暗中却在各大网站和搜索引擎中强插广告;

木马劫持插入广告的网站多达940个域名,几乎覆盖所有常用网站;

通过不良下载站和视频站捆绑推广,感染量近百万电脑;

包括IE、Chrome等内核的主流浏览器均受影响;

依靠数字签名免杀,目前国内仅360杀毒和安全卫士拦截查杀“比比看”木马。

最近有网友反馈,访问一些常用网站和使用搜索引擎时,网页中频繁出现来自的广告。经360安全中心调查,此现象是电脑感染一款名为“比比看”的木马插件造成的。

“比比看”木马样本伪装为一个购物比价插件,插件的劫持列表中有多达940个域名,覆盖国内所有知名网站。其推广渠道众多,在不良下载站下载软件、在色情视频站下载播放器,都可能被捆绑安装“比比看”。

电脑中招现象,搜索结果和各大知名网站被插入来自的广告:

木马行为分析:

“比比看”安装包启动后会向system32下释放:e(升级程序)、Sole_GouWu_l(篡改IE的插件),之后注册Sole_GouWu_l并启动e,由e提交用户计算机的信息到51sole后台。

除了通过bho插件劫持IE外,木马还会检测系统中安装的Chrome内核浏览器,并针对此类浏览器用户偷偷下载安装一个Chrome插件,实现对Chrome内核浏览器的劫持。

该木马对非IE内核浏览器劫持列表:

[config]

GoogleChrome=

GoogleChrome_id=cbbjhegipokkofhhicbckicchjpcpeni

360se6=

360se6_id=cbbjhegipokkofhhicbckicchjpcpeni

360..........=

360.........._id=cbbjhegipokkofhhicbckicchjpcpeni

version=1.0.1.3

download=

安装后的恶意插件:

木马劫持的部分网站列表:

木马插件通过在搜索页面中插入图层(p)的方式,在搜索结果中插入自己的信息。

Chrome内核下,插入新图层代码:

IE内核下插入新图层代码:

被插入的p内容:插入的信息包括当前访问页面的host、访问的url,中招计算机的mac地址、浏览器信息、插件的版本号,以及一个木马的js脚本。

这个js脚本指向51sole的服务器,通过控制服务器的脚本,攻击者可以随意添加任意内容到用户的页面中。

木马捕获时的js脚本,其中有判断中招机器mac地址的操作:

修改中招者的cookie:

木马插件篡改各大网站插入的广告:

打开木马插入的广告链接,进入(一家名为“搜了网”的商务网站):

由于“比比看”木马插件使用了“深圳市搜了信息技术有限公司”的有效数字签名,使很多杀毒厂商将其误认为合法软件。目前仅360杀毒和安全卫士能够拦截查杀“比比看”木马。

挂号怎么预约

名医汇

名医汇

相关阅读