百度旗下網(wǎng)站藏惡意代碼被曝光 陸奇是否愿意背鍋

就在今天下午，剛剛由國內(nèi)知名安全實(shí)驗(yàn)室——火絨發(fā)布的一份詳盡報(bào)告顯示：百度旗下的http://www.skycn.net/和 http://soft.hao123.com/兩個(gè)網(wǎng)站，經(jīng)核實(shí)用戶在下載任何軟件時(shí)，都會(huì)被植入惡意代碼。

火絨安全實(shí)驗(yàn)室提示公眾：該惡意代碼進(jìn)入電腦后，會(huì)通過加載驅(qū)動(dòng)等各種手段防止被卸載，進(jìn)而長期潛伏，并隨時(shí)可以被“云端”遠(yuǎn)程操控，用來劫持導(dǎo)航站、電商網(wǎng)站、廣告聯(lián)盟等各種流量。

懂懂筆記檢索資料，發(fā)現(xiàn)上述兩個(gè)網(wǎng)站都是百度公司十幾年前就完成收購的。其中2004 年 08 月，百度收購好 123 網(wǎng)址之家；2006年5月，百度以3000萬元人民幣的價(jià)格完成了對(duì)天空軟件的最終收購。

可以說，目前新上任的百度董事會(huì)副主席陸奇，除了要面對(duì)前不久百度公司不盡人意的新一季財(cái)報(bào)，還要面對(duì)過去百度公司旗下這些資產(chǎn)或者說業(yè)務(wù)遺留的大問題：百度要發(fā)力人工智能，以人工智能更好的為用戶服務(wù)的理念，如何對(duì)應(yīng)旗下這兩個(gè)網(wǎng)站，在過去多年來對(duì)用戶所做的“惡意”的智能？

針對(duì)百度旗下網(wǎng)站被曝光事件，懂懂筆記第一時(shí)間聯(lián)絡(luò)了火絨聯(lián)合創(chuàng)始人馬剛，他對(duì)此表示：

首先：誘導(dǎo)、欺騙、劫持流量是當(dāng)今國內(nèi)互聯(lián)網(wǎng)的普遍現(xiàn)象，但是這么惡劣的行為，一般是病毒團(tuán)伙、流氓軟件公司才會(huì)做，大公司往往比較狡猾，不會(huì)直接做到“惡意代碼”這個(gè)級(jí)別。

其次，這種行為應(yīng)該不是在收購前的事情，因?yàn)槟菚r(shí)候完全不是現(xiàn)在的行業(yè)狀況。

這種行為等于長期劫持用戶電腦，替換修改用戶的瀏覽器、首頁等，干擾用戶正常使用電腦，還有就是，很可能出現(xiàn)跟其他軟件做攻防，導(dǎo)致電腦運(yùn)行故障等情況。

最后，他提醒公眾注意自身信息安全。火絨日常的安全報(bào)告平均每個(gè)月發(fā)布一期，之前也揭露過數(shù)家商業(yè)公司制造病毒和流氓軟件。普通用戶總要上下載站下載軟件的，沒有辦法預(yù)防。行業(yè)的發(fā)展只能是安全廠商盯緊這種事件，真實(shí)、及時(shí)地?cái)r截、查殺并通報(bào)這些安全威脅。

注：火絨安全實(shí)驗(yàn)室發(fā)布的部分原文如下，因報(bào)告過長，更多內(nèi)容請(qǐng)登陸火絨安全實(shí)驗(yàn)室網(wǎng)站查閱。

一、 概述

經(jīng)火絨安全實(shí)驗(yàn)室截獲、分析、追蹤并驗(yàn)證，當(dāng)用戶從百度旗下的http://www.skycn.net/和 http://soft.hao123.com/這兩個(gè)網(wǎng)站下載任何軟件時(shí)，都會(huì)被植入惡意代碼。該惡意代碼進(jìn)入電腦后，會(huì)通過加載驅(qū)動(dòng)等各種手段防止被卸載，進(jìn)而長期潛伏，并隨時(shí)可以被“云端”遠(yuǎn)程操控，用來劫持導(dǎo)航站、電商網(wǎng)站、廣告聯(lián)盟等各種流量。

火絨實(shí)驗(yàn)室近期接到數(shù)名電腦瀏覽器被劫持的用戶求助，在分析被感染電腦時(shí)，提取到多個(gè)和流量劫持相關(guān)的可疑文件：HSoftDoloEx.exe 、bime.dll 、MsVwmlbkgn.sys、LcScience.sys、WaNdFilter.sys，這些可疑文件均包含百度簽名。

這些包含惡意代碼的可疑文件，被定位到一個(gè)名叫nvMultitask.exe的釋放器上，當(dāng)用戶在http://www.skycn.net/和http://soft.hao123.com/這兩個(gè)下載站下載任何軟件時(shí)，都會(huì)被捆綁下載該釋放器，進(jìn)而向用戶電腦植入這些可疑文件。需要強(qiáng)調(diào)的是，下載器運(yùn)行后會(huì)立即在后臺(tái)靜默釋放和執(zhí)行釋放器nvMultitask.exe，植入惡意代碼，即使用戶不做任何操作直接關(guān)閉下載器，惡意代碼也會(huì)被植入。

根據(jù)分析和溯源，最遲到2016年9月，這些惡意代碼即被制作完成。而操縱流量劫持的“遠(yuǎn)程開關(guān)”于近期被開啟，被感染的電腦會(huì)被按照區(qū)域和時(shí)段等條件，或者是隨機(jī)地被“選擇”出來，進(jìn)行流量劫持——安全業(yè)界稱之為“云控劫持”。

圖 1、下載器向用戶計(jì)算機(jī)植入惡意代碼

被植入的惡意代碼沒有正常的用戶卸載功能，也沒有常規(guī)啟動(dòng)項(xiàng)，電腦每次開機(jī)時(shí)都會(huì)啟動(dòng)和更新惡意代碼，惡意代碼接收C&C服務(wù)器指令，行為受云端控制，并且會(huì)通過加載驅(qū)動(dòng)，保護(hù)相關(guān)的注冊(cè)表和文件不被刪除。

因此，這些植入惡意代碼的用戶電腦成為長期被遠(yuǎn)程控制的“肉雞”。

該惡意代碼被遠(yuǎn)程啟動(dòng)后，會(huì)劫持各種互聯(lián)網(wǎng)流量，用戶的瀏覽器、首頁、導(dǎo)航站都會(huì)被劫持，將流量輸送給hao123導(dǎo)航站。同時(shí)，還會(huì)篡改電商網(wǎng)站、網(wǎng)站聯(lián)盟廣告等鏈接，用以獲取這些網(wǎng)站的流量收入分成（詳情在本報(bào)告第二章）。

綜上所述，該惡意代碼本身以及通過下載器植入用戶電腦的行為，同時(shí)符合安全行業(yè)通行的若干個(gè)惡意代碼定義標(biāo)準(zhǔn)，因此，火絨將這一惡意代碼家族命名為“Rogue/NetReaper”（中文名：流量收割者）。升級(jí)到“火絨安全軟件”最新版本，即可全面查殺、清除該類惡意代碼。