吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 77765|回复: 1358
收起左侧

[PC样本分析] 联通官网携带木马脚本 可向用户推广色情APP

    [复制链接]
火绒安全实验室 发表于 2020-11-12 18:32
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2020-11-12 18:56 编辑

【快讯】
近期,火绒接到用户反馈,称在登录中国联通官网办理业务时被火绒报毒。火绒工程师查看后,发现中国联通官网携带木马脚本(Trojan/JS.Redirector)。当用户访问其中某“业务办理记录”页面时,即会激活木马脚本,导致用户被强行跳转到其他推广页面上,推广内容涉及色情、游戏等。不仅如此,该木马脚本还被设定为一天只跳转一次,降低用户警惕性,以便长期存留于该页面。

____色情广告(1).jpg

值得注意的是,联通官网的移动端和PC端都存在上述木马脚本,虽然强行跳转现象目前仅出现在移动端,但不排除未来出现在PC端的可能性。火绒用户无需担心,火绒安全软件可拦截该木马脚本和网页。

Image-5.png
最后,为避免更多用户受该木马脚本影响,我们建议中国联通官方尽快排查上述问题。通过此次事件反映出内容审查和安全检测对官方平台的重要性,我们也希望能通过此次报告,引起相关平台开发人员、管理人员的重视,及时加强安全审查力度,保障广大用户安全。


附:【分析报告】


一、        详细分析
近期根据用户反馈,我们对联通官网中某页面代码进行分析,发现该页面中被植入了木马脚本(Trojan/JS.Redirector),该木马脚本逻辑执行后会控制用户当前页面跳转到色情、游戏等广告页面。脚本代码逻辑中控制了每天的访问次数,每天仅会访问一次。我们初步推测其控制服务器在下放广告链接时,也会对用户每天的访问次数进行限制。现阶段我们发现,在被植入相同代码的情况下,只有手机端浏览器可以复现跳转过程(控制服务器可能针对浏览器UA进行了判断),但是不排除PC端浏览器也会出现相同跳转行为的可能性。跳转流程,如下图所示:

Image-6.png
跳转流程

跳转到的色情APP广告,如下图所示:


从联通官网页面跳转到的色情广告

联通官网“业务办理记录”页面代码,如下图所示:

Image-8.png
联通官网“业务办理记录”页面代码

上图中的tj1.js木马脚本会先向控制服务器地址请求跳转相关的网址链接内容,之后控制当前页面进行跳转。tj1.js脚本内容,如下图所示:

Image-9.png
请求tj1.js脚本内容

脚本内容,如下图所示:

Image-10.png
木马脚本内容

链接存放页面返回结果,如下图所示:

Image-11.png
代码执行流程

后续跳转流程,依次如下图所示:

Image-12.png
第一次跳转

Image-13.png
第二次跳转

Image-14.png
第三次跳转

Image-15.png
第四次跳转

抓包打码.png
最终跳转到色情APP广告页面

经过我们进一步溯源,上述木马脚本早在2016年10月份就已经在联通官网页面中出现。相关页面情况,如下图所示:

Image-17.png
历史页面内容

有些用户可能会偶尔遇到,在访问网页时突然被跳转到其他广告页面的情况。我们通过火绒终端威胁情报系统发现,引用有相同木马脚本的站点并非只有联通官网,所以上述分析可能可以给用户遇到类似跳转现场提供参考依据。除前文中提到的色情广告外,现阶段监测到的部分其他被推广链接,如下图所示:

Image-18.png
游戏广告

Image-19.png
色情APP广告

二、        附录
样本hash

Image-20.png

点评

注意:91p*** 目前没有app,注意预防诈骗。。。  发表于 2020-11-13 14:10
注意:91p*** 目前没有app,注意预防诈骗。。。  发表于 2020-11-12 21:45
请把链接主动退给我(指app)  发表于 2020-11-12 19:46

免费评分

参与人数 442吾爱币 +365 热心值 +404 收起 理由
一刀一个小朋友 + 1 + 1 还有这好事?果断携号转网联通
苗兴仁 + 1 + 1 我很赞同!
求存 + 1 谢谢@Thanks!
宁静有灵 + 1 我很赞同!
陌上浮华 + 1 谢谢@Thanks!
xh960909 + 1 + 1 我很赞同!
青山遮不住 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
洞察 + 1 热心回复!
spi1932 + 1 已经处理,感谢您对吾爱破解论坛的支持!
ZWind + 1 + 1 我很赞同!
KUKI + 1 + 1 谢谢@Thanks!
潇潇枫 + 1 + 1 我很赞同!
JerusalemSky + 1 + 1 我很赞同!
liu520817 + 1 + 1 我很赞同!
断笔画墨 + 1 用心讨论,共获提升!
余烬_x + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
jockin + 1 用心讨论,共获提升!
倾舞 + 1 + 1 谢谢@Thanks!
ls03789 + 1 热心回复!
侑燈 + 1 谢谢@Thanks!
wuaixinyue + 1 + 1 我很赞同!
深海天空 + 1 + 1 我很赞同!
sheele + 1 用心讨论,共获提升!
vitolyon + 1 + 1 用心讨论,共获提升!
Jokerik + 1 我很赞同!
SmithWell + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Kitfox + 1 + 1 我很赞同!
pzysYa + 1 火绒安全软件好用嘞很
mixsen + 1 + 1 我很赞同!
hujiahe8868 + 1 + 1 我很赞同!
jingcai1992 + 1 我很赞同!
土拨鼠丶 + 1 + 1 我很赞同!
bocins + 1 + 1 支持火绒
征战四方 + 1 + 1 谢谢@Thanks!
旺旺小小酥 + 1 + 1 热心回复!
gaohan1 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
yourenzhang + 1 热心回复!
alphaperson + 1 + 1 谢谢@Thanks!
mrllik + 1 我很赞同!
igrace52 + 1 用心讨论,共获提升!
永远的学者 + 1 我去,好几年了,联通没发现?
yankeyu + 1 + 1 谢谢@Thanks!
jiangmingliang + 1 + 1 现在的经济不景气啊,啥鸟都出来了
vision_li + 1 + 1 谢谢@Thanks!
很默契啊 + 1 + 1 谢谢@Thanks!
一米七五 + 1 + 1 火绒牛逼!!
lg666 + 1 火绒666 第一次接触火绒是NZ塔防断网 卡光环
静叶流云 + 1 + 1 热心回复!
ジ残破ルづ + 1 + 1 看名称,像某跑路路由器植入的广告
m15957356416 + 1 + 1 注意:91p*** 目前没有app,注意预防诈骗。。。
wocuole + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
白皇吾猫 + 1 + 1 我很赞同!
52pojie_ZH + 1 + 1 热心回复!
带司 + 1 + 1 我很赞同!
yy3178 + 1 注意:91p*** 目前没有app,注意预防诈骗。。。
rainbo56 + 1 + 1 我很赞同!
DaMeng_52pojie + 1 + 1 谢谢@Thanks!
zplly521521 + 1 用心讨论,共获提升!
红星闪闪罗小黑 + 1 + 1 我很赞同!
我有三个艾琳 + 1 + 1 正愁不知哪里找,它倒自己送上门来了
Lose2Win + 1 + 1 我很赞同!
wggg + 1 + 1 用心讨论,共获提升!
sunnylds7 + 1 + 1 热心回复!
AcDce + 1 + 1 我很赞同!
LynnGarcia + 1 我很赞同!
风再起时。 + 1 我很赞同!
夜惊澜 + 1 + 1 谢谢@Thanks!
YUN6663 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
小小怪X + 1 热心回复!
deityso + 1 + 1 竟然有人知道没有APP? 说什么问题?
O678O + 1 谢谢@Thanks!
Lue + 1 + 1 火绒 永远的神
熊大官人 + 1 + 1 我很赞同!
qtv587 + 1 + 1 用心讨论,共获提升!
zjty123 + 1 + 1 谢谢@Thanks!
fei05 + 1 + 1 我很赞同!
nxlwjm11sjm + 1 我很赞同!
xuanxiaomai + 1 + 1 我很赞同!
吾爱小阿毛 + 1 + 1 谢谢@Thanks!
Silence_NPC + 1 + 1 我很赞同!
we1900 + 1 + 1 我很赞同!
xue34777 + 1 + 1 我很赞同!
玄非 + 1 + 1 我很赞同!
哥斯拉巨炮 + 1 + 1 我很赞同!
kai.wu + 1 + 1 我很赞同!
春在说谎 + 1 + 1 我很赞同!
jajoon + 1 + 1 我很赞同!
词庸奋斗 + 1 + 1 我很赞同!
浮生若兔 + 1 + 1 我很赞同!
guming + 1 + 1 我很赞同!
hxz1997 + 1 + 1 热心回复!
猎祖猎宗 + 1 + 1 我很赞同!
ly-az + 1 + 1 鼓励转贴优秀软件安全工具和文档!
WAPJ_0214 + 1 + 1 热心回复!
Saucerman + 1 + 1 用心讨论,共获提升!
lit桐 + 1 鼓励转贴优秀软件安全工具和文档!
springrainzhang + 1 + 1 我很赞同!
GuLiGuLi + 1 + 1 谢谢@Thanks!
lookerJ + 1 + 1 我很赞同!
天津可得SEO + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

大兵马元帅 发表于 2020-11-12 18:40
真的吗?谢谢你 我要去办一张联通卡,谢谢

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
无畏前行 + 1 + 1 ???兄弟,你有问题

查看全部评分

小能维尼 发表于 2020-11-12 18:54
明明穿了衣服,你非要打个黑块,搞的就像没穿一样。
不说了,我要去看联通广告了。
owenlrj 发表于 2020-11-12 18:39
TZ084725 发表于 2020-11-12 18:36
爱奇艺上是不是也有?上次看动漫的时候也跳了个色情网站
winson365 发表于 2020-11-12 20:11
楼主不要拦着我,我要去APP
wakichie 发表于 2020-11-12 18:41
联通牛逼啊
lovechoc 发表于 2020-11-12 18:52
估计是营销手段
赌狗人生丶 发表于 2020-11-15 18:17
nb 请把网站给我 哈哈
至风 发表于 2020-11-12 18:35
感谢火绒分享,我说上次这么卡
安了你的梦 发表于 2020-11-12 18:41
感觉是故意的 要不 为什么PC端和移动端都有呢
fuyu 发表于 2020-11-12 18:44
貌似这个软件上次在福利经验去有人发过,不过是被版主5秒后删
yhkjKLUH 发表于 2020-11-12 18:44
可怕,联通官网都有,那么问题来了是谁放上去了呢
daitoudage 发表于 2020-11-12 18:45
哈哈哈哈,联通联得通
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 17:12

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表