恶性病毒首次攻破HTTPS防线 劫持搜索引擎流量牟利
2016-12-16 14:09:00
来源:中国新闻网
中新网12月16日电 近日,火绒安全团队称截获一个由商业软件携带的病毒,并以其载体命名为“净广大师”病毒。在目前广为流行的“流量劫持”类病毒中,该病毒策略高明、技术暴力,强力对抗安全软件,并攻破了业界普遍信赖的HTTPS加密通信协议。
中新网12月16日电 近日,火绒安全团队称截获一个由商业软件携带的病毒,并以其载体命名为“净广大师”病毒。在目前广为流行的“流量劫持”类病毒中,该病毒策略高明、技术暴力,强力对抗安全软件,并攻破了业界普遍信赖的HTTPS加密通信协议。
根据UC用户的求助,火绒团队截获一个新病毒,该病毒通过网络过滤驱动,劫持百度搜索流量牟利,劫持手法十分暴力,致使UC、360、搜狗等几乎所有知名浏览器都无法正常访问百度。根据用户现场调查,并借助“火绒终端威胁情报系统”追踪源头,发现该病毒是由一个名为“净广大师”的广告拦截软件携带和释放的。
据称,这是火绒团队截获的首个突破HTTPS协议劫持流量的恶性病毒,而在其官网上可以看到,该软件竟然称其通过了国内外多家安全厂商的认证,如下图红框中所示:
“净广大师”软件安装后,会释放一个名为rtdxftex.sys的驱动程序,该驱动程序具有很强的内核级对抗能力。被感染之初,用户不会感觉到任何异样,但该病毒驱动文件名会随着重启不断变换,以此来躲避安全厂商的截杀和代码分析。即使“净广大师”被卸载,该病毒功能依然会随机激活,劫持用户的搜索流量。
更重要的是,该病毒竟然突破了互联网行业普遍信赖的HTTPS加密通信协议,轻松劫持基于HTTPS的百度搜索的流量:
病毒劫持百度搜索页面
该病毒被激活后,会检测访问百度搜索的计费ID,如果非病毒自身的计费ID则无法正常访问百度搜索,使得所有浏览器只能访问带有病毒计费ID的百度搜索页面。如下图所示:
该病毒除网络过滤外,还通过文件过滤驱动阻止其他程序对其驱动文件进行访问,在打开该驱动文件信息时无法得到该文件的完整信息。如下图所示:
病毒驱动信息(左为病毒加载后截图、右为实际文件信息)
病毒驱动信息(左为病毒加载后截图、右为实际文件信息)
病毒签名信息
“火绒安全软件”已经升级,全面拦截和查杀该病毒及其载体“净广大师”软件。针对已经被感染用户,“火绒恶性木马专杀工具”可以彻底清除已经释放的病毒驱动程序,如图所示:
请广大用户尽快安装“火绒安全软件”拦截、查杀该病毒,如果怀疑电脑已经被感染,则先下载使用火绒专杀工具,彻底清除病毒驱动程序。
火绒安全团队将继续追踪查杀该病毒可能出现的变种,如果您的浏览器有被该病毒感染的症状(各种浏览器都失效),请到火绒论坛反馈情况。

免责声明:本文仅代表作者个人观点,与凤凰网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
网罗天下
凤凰财经官方微信
视频
-
李咏珍贵私人照曝光:24岁结婚照甜蜜青涩
播放数:145391
-
金庸去世享年94岁,三版“小龙女”李若彤刘亦菲陈妍希悼念
播放数:3277
-
章泽天棒球写真旧照曝光 穿清华校服肤白貌美嫩出水
播放数:143449
-
老年痴呆男子走失10天 在离家1公里工地与工人同住
播放数:165128
财富派
战火锻造的富兰克林家族
点击数:1378761
奥巴马拒住的酒店原来是中国人的
点击数:1398712
为什么这个90后是未来的扎克伯格?
点击数:1765508
陈曦:琴与弓的生活美学
点击数:1928339
图片新闻
