瑞星预警：新型Web劫持技术现身 专攻搜索引擎

瓜g

近期，瑞星互联网攻防实验室截获了一例利用script脚本进行Web劫持的攻击案例，在该案例中，黑客利用一批新闻页面重置了搜索引擎页面，并将搜索结果替换为自己制作的假页面，以达到恶意推广的目的。瑞星安全专家表示，这种Web劫持在国内尚属首例，同时也非常危险，用户稍不留神就可能进入黑客制作的钓鱼页面，从而被骗取钱财及隐私信息。因此，广大用户在上网时应随时保持警惕，一旦发现页面内容出现异常，应马上核对所在页面的网址，以免上当受骗。

瑞星安全专家指出，该类新型Web劫持是利用script脚本实现的。在已知的案例中，黑客入侵了某地方门户网站，篡改了该网站的新闻页面，并向这些页面植入自己的广告、新闻及恶意代码。一旦用户从搜索结果页面点击进入被篡改过的新闻页面，script脚本就会用假页面置换原搜索结果页面。因为该黑客使用了与原搜索引擎极其近似的域名，并阻止浏览器的后退功能退回原页面，所以一般用户很难察觉自己打开的网站已经被调包了。



图1：原搜索结果页面



图2：被黑客植入恶意代码的新闻页面



图3：被劫持后自动跳转的假页面

瑞星安全专家表示，这种新型Web劫持非常危险，今后还有可能有更多网站遭遇劫持，其中搜索引擎、金融、电商以及票务等网站可能成为高危攻击目标。它能够悄无声息地替换用户打开的任意页面，在用户以为自己仍在浏览常用网站时，却落入了黑客的圈套，受害的用户将在毫不知情的情况下被套取钱财及个人隐私信息。因此，瑞星安全专家再次提醒广大用户，浏览网站时，页面出现任何不同寻常的变化都要警惕，同时仔细核对页面地址，以免遭受不必要的损失。

附：瑞星互联网攻防实验室《Web劫持搜索页面分析报告》

Web劫持搜索页面分析报告

现象分析

地址：

http://www.baidu.com/s?wd=%D0%C2 ... B%D0%C2%CE%C5%CD%F8
打开以后页面为正常页面。



附图1：原页面

在这个页面中，点击域名是www.wfnews.com.cn或www.cnncw.cn的网站，会打开一个选项卡去访问目标页面。



附图2：点击的目标页面

但是随后能就发现之前的页面已经变成了一个其他网站的地址：

http://www.baidu.com.xnb391ax506 ... B%D0%C2%CE%C5%CD%F8



附图3：被劫持后自动跳转的假页面

然后，我们重新打开原页面，点击域名不是www.wfnews.com.cn或www.cnncw.cn的网站，发现原页面不会变成其他地址。

原理分析

通过现象的分析，我们推测很有可能是新打开的网站里面存在问题。所以挑选了一个网页对其源码进行分析，主要分析其内部引入的脚本文件内容，分析的URL地址是http://www.wfnews.com.cn/health/h/2013-06/30/contentt_4038562.htm。

通过对引入的脚本文件的分析，我们发现其中一些引入的文件中包含有经过加密处理的脚本代码，这个很有可能就是引起跳转的原因。



附图4：加密脚本内容

下面我们来分析引入的那个加密脚本http://www.13an.com/china/data/forum-20130604183433.js。下载并经过解密分析分析一下，我们得到了核心代码如下附图5所示：



附图5：攻击脚本的核心代码

下面我们自己写一个小代码进行本地测试，测试方法比较简单，创建两个文件index.html和new.html。

Index.html页面比较简单，就是引入一个a标签，然后点击在新窗口中打开new.Html，代码如下。



附图6：测试用Index.html的代码

New.Html里面就增加了一个script脚本，用来处理window.opener，代码如下。



附图7：测试用New.html的代码

红框中的就是核心代码，也就是导致原页面重置的原因。然后我们分别在Chrome、Firefox、IE8环境进行测试。

Chrome



附图8：Chrome浏览器下的测试结果

截图中就可以看到打开新页面时，前面的index.html已经是百度首页了。

Firefox



附图9：FireFox浏览器下的测试结果

火狐也是一样的。

IE8



附图10：IE8浏览器下的测试结果

IE8也跳转过去了。

至此我们就了解了页面是如何将百度的窗口跳转到另一个页面的。

10495874

新方向！

ccddeee

看着挺危险的

你猜我是谁

这码等于没打……

wqql49

完败几乎所有浏览器

jinglu

这个真是没办法？！！楼主辛苦了！幸好被瑞星拦截了。

反病毒测试员

感谢提醒 楼主辛苦了

拉肚子

哈哈，谢谢楼主的截图，很详细，很好的安全技术。