百度承认旗下网站藏恶意代码

发表:2017年03月09日
【本报综合报导】近日,百度承认旗下两个网站www.skycn.net和soft.hao123.com藏有恶意代码。第三方安全机构——网络安全公司火绒安全在2月28日发表《百度旗下网站暗藏恶意代码——劫持用户电脑疯狂“收割”流量》的调查报告,披露上述两个网站暗藏恶意代码的问题。
 
文章中称,火绒实验室近期接到数名电脑浏览器被劫持的用户求助,在分析被感染电脑时,提取到多个和流量劫持相关的可疑文件:HSoftDoloEx.exe 、bime.dll 、MsVwmlbkgn.sys、LcScience.sys、WaNdFilter.sys,这些可疑文件均包含百度签名。
 
用户在通过这两个网站下载PC端软件和安装过程中,会被植入恶意代码,用以“劫持导航站、电商网站、广告联盟等各种流量,并伪装成联盟流量骗取百度分成收入”。
 
被植入的恶意代码没有正常的用户卸载功能,也没有常规启动项,电脑每次开机时都会启动和更新恶意代码,恶意代码接收C&C服务器指令,行为受云端控制,并且会通过加载驱动,保护相关的注册表和文件不被删除。因此,这些植入恶意代码的用户电脑成为长期被远程控制的“肉鸡”。
 
报告对主要劫持行为描述为,当用户要访问其它导航站时,会被劫持到百度hao123导航站;把用户电脑首页修改为hao123导航站;被替换后首页都会变成hao123导航站,并通过百度联盟计费名统计流量等行为。