吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 14951|回复: 44
收起左侧

[转载] 【转载】“净广大师”病毒攻破 HTTPS防线 劫持百度搜索流量牟利【来自火绒】

  [复制链接]
Frustrate 发表于 2016-12-20 09:32
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
近期,火绒团队截获一个由商业软件携带的病毒,并以其载体命名为“净广大师”病毒。在目前广为流行的“流量劫持”类病毒中,该病毒策略高明、技术暴力,并攻破HTTPS的“金钟罩”,让百度等互联网厂商普遍使用的反劫持技术面临严峻挑战。

根据用户反馈,火绒团队截获一个新的劫持类病毒,该病毒通过网络过滤驱动劫持百度搜索流量进行牟利,劫持手法十分暴力,致使UC等知名浏览器甚至无法正常访问百度搜索页面。根据对用户现场调查,并借助“火绒威胁情报系统”追踪源头,我们发现该病毒是由一个名为“净广大师”的广告拦截软件释放并加载的。

“净广大师”软件安装后,会释放一个名为rtdxftex.sys的驱动程序,该驱动程序具有很强的内核级对抗能力。被感染之初,用户不会感觉到任何异样,但该病毒驱动文件名会随着重启不断变换,以此来躲避安全厂商的截杀和代码分析。即使“净广大师”被卸载,该病毒功能依然会随机激活,劫持用户的搜索流量。

更重要的是,该病毒为火绒今年首次截获的突破HTTPS加密通信协议的恶意程序。如下图所示,该病毒可以劫持基于HTTPS的百度搜索的流量: ed00a4ea8746eba59ed826dcf91f2dab.png
该病毒被激活后,会检测访问百度搜索的计费ID,如果非病毒自身的计费ID则无法正常访问百度搜索,使得所有浏览器只能访问带有病毒计费ID的百度搜索页面。如下图所示: 2.png
该病毒除网络过滤外,还通过文件过滤驱动阻止其他程序对其驱动文件进行访问,在打开该驱动文件信息时无法得到该文件的完整信息。如下图所示: 3.png
“净广大师”的官网自称,该软件通过了多家安全厂商的认证,如下图所示: 4.png
“火绒安全软件”已经针对病毒母体“净广大师”软件和官网进行全面的拦截和查杀。针对病毒驱动程序,我们也已经将其相应的清除方法加入到了火绒专杀工具中。如图所示: 6.png
广大用户安装“火绒安全软件”即可对该病毒进行有效拦截查杀,如果已经感染该病毒,建议下载火绒专杀工具对该病毒进行清除。
火绒安全团队将持续追踪查杀该病毒可能出现的变种,如果您的浏览器有被该病毒感染的症状,可以到火绒论坛反馈相关情况。
火绒安全软件下载地址:http://www.huorong.cn/downv4.html
专杀工具下载地址:https://down5.huorong.cn/hrkill.exe

如有违规,请删除。


点评

这病毒毁了净网大师名声啊,中枪了  发表于 2016-12-20 10:37
净网大师躺着中枪  发表于 2016-12-20 10:05
火绒,杀毒界鲁迅  发表于 2016-12-20 09:35

免费评分

参与人数 19热心值 +19 收起 理由
我爱521 + 1 我很赞同!
Chlrun + 1 学习了,这净广大师有点意思
ghvmy12 + 1 这是一场撕逼~ http://www.ad-anti.com/gonggao.html
liuqiwei26 + 1 我很赞同!
BayBear + 1 净网大师躺枪中~~
rongke1 + 1 谢谢@Thanks!
soyiC + 1 用心讨论,共获提升!
萬强丶 + 1 我很赞同!
哲少 + 1 净网大师 本就名声不干净。你们用净网大师屏蔽广告的同时,它就在页面加载.
只为牵挂你 + 1 昨天晚上才安装 360不停的报毒 结果卸载了 现在下载杀一下看看
kicebeauty + 1 用心讨论,共获提升!
三人行必有师焉 + 1 最近我也遇到了这个问题,查不到病毒……用这个试试
zhoulinzhi + 1 净网大师躺着中枪
aceryao + 1 净网大师表示黑人问号
岁月神偷 + 1 一直以为说的是净网大师,看到最后才发现...
顺其自然xz + 1 我很赞同!
羊之心羽 + 1 净网大师躺着中枪
华说要有光 + 1 净网大师躺枪
Mainos + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| Frustrate 发表于 2016-12-20 09:53
融化的泪记忆中 发表于 2016-12-20 09:50
我之前出现过用谷歌浏览器https被红线划掉了!而且图片无法加载的问题!最后忘了是怎么解决的了!而且当时 ...

这个是净广大师呀     不是一家的 我第一次在火绒看到也以为是净网大师呢
15562263058 发表于 2016-12-20 10:00
融化的泪记忆中 发表于 2016-12-20 09:50
我之前出现过用谷歌浏览器https被红线划掉了!而且图片无法加载的问题!最后忘了是怎么解决的了!而且当时 ...

楼主发的这个是净广大师,不是净网大师,不同的!净网大师一直很良心的!
darker 发表于 2016-12-20 09:37
灬龙宇 发表于 2016-12-20 09:39
一直在用,火绒挺好的,但是偶尔我会下载一些管家卫士之类的修复电脑,然后再卸载,只留下火绒……
qqyyh 发表于 2016-12-20 09:40
真的这么牛吗?静观
colinjian22 发表于 2016-12-20 09:47
火绒还是有很多木马和劫持搞不定啊。。像6789网页劫持等
3c666 发表于 2016-12-20 09:47
火绒  干的漂亮 啊      
融化的泪记忆中 发表于 2016-12-20 09:50
我之前出现过用谷歌浏览器https被红线划掉了!而且图片无法加载的问题!最后忘了是怎么解决的了!而且当时好像确实用了净网大师!
czllt 发表于 2016-12-20 09:52
看来以后得小心点这厮了
dxdeng 发表于 2016-12-20 09:56
没用这个软件
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-6-13 17:47

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表