收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国内杀毒软件 “比比看”木马在940家网站强插广告 360独家查杀
返回列表 发新帖
查看: 2137|回复: 6
收起左侧

[分享] “比比看”木马在940家网站强插广告 360独家查杀

[复制链接]
爱也无罪
发表于 2013-12-30 12:35:25 | 显示全部楼层 |阅读模式
    名义上是购物比价插件,暗中却在940家知名网站强插广告!一款名为“比比看”的木马,通过不良下载站和色情播放器等捆绑传播,近期已侵袭了近百万电脑。由于该木马使用“深圳市搜了信息技术有限公司”有效数字签名,被很多杀毒厂商误认为合法软件,目前国内仅360杀毒和安全卫士独家拦截查杀。
“比比看”木马分析报告
1.伪装“购物比价插件”,暗中却在各大网站和搜索引擎中强插广告;
2.木马劫持插入广告的网站多达940个域名,几乎覆盖所有常用网站;
3.通过不良下载站和视频站捆绑推广,感染量近百万电脑;
4.包括IE、Chrome等内核的主流浏览器均受影响;
5.依靠数字签名免杀,目前国内仅360杀毒和安全卫士拦截查杀“比比看”木马。
  最近有网友反馈,访问一些常用网站和使用搜索引擎时,网页中频繁出现来自51sole.com的广告。经360安全中心调查,此现象是电脑感染一款名为“比比看”的木马插件造成的。
  “比比看”木马样本伪装为一个购物比价插件,插件的劫持列表中有多达940个域名,覆盖国内所有知名网站。其推广渠道众多,在不良下载站下载软件、在色情视频站下载播放器,都可能被捆绑安装“比比看”。


  电脑中招现象,搜索结果和各大知名网站被插入来自51sole.com的广告:
  
  
木马行为分析:
  “比比看”安装包启动后会向system32下释放:BHOUpdate.exe (升级程序)、Sole_GouWu_1.0.1.3.dll (篡改IE的插件),之后注册Sole_GouWu_1.0.1.3.dll并启动BHOUpdate.exe,由BHOUpdate.exe提交用户计算机的信息到51sole后台。
  除了通过bho插件劫持IE外,木马还会检测系统中安装的Chrome内核浏览器,并针对此类浏览器用户偷偷下载安装一个Chrome插件,实现对Chrome内核浏览器的劫持。
  该木马对非IE内核浏览器劫持列表:
[config]
Google Chrome=http://dll4.bigou.51sole.com:8888/Client/360bbkGouWu_chrome_2.2.0.0.zip
Google Chrome_id=cbbjhegipokkofhhicbckicchjpcpeni
360se6=http://dll4.bigou.51sole.com:8888/Client/360bbkGouWu_chrome_2.2.0.0.zip
360se6_id=cbbjhegipokkofhhicbckicchjpcpeni
360..........=http://dll4.bigou.51sole.com:8888/Client/360bbkGouWu_chrome_2.2.0.0.zip
360.........._id=cbbjhegipokkofhhicbckicchjpcpeni
version=1.0.1.3
download=
  安装后的恶意插件:


  木马劫持的部分网站列表:


  木马插件通过在搜索页面中插入图层(div)的方式,在搜索结果中插入自己的信息。
  Chrome内核下,插入新图层代码:


  IE内核下插入新图层代码:






  被插入的div内容:插入的信息包括当前访问页面的host、访问的url,中招计算机的mac地址、浏览器信息、插件的版本号,以及一个木马的js脚本。


  这个js脚本指向51sole的服务器,通过控制服务器的脚本,攻击者可以随意添加任意内容到用户的页面中。
  木马捕获时的js脚本,其中有判断中招机器mac地址的操作:


  修改中招者的cookie:


  木马插件篡改各大网站插入的广告:




  打开木马插入的广告链接,进入51sole.com(一家名为“搜了网”的商务网站):


  由于“比比看”木马插件使用了“深圳市搜了信息技术有限公司”的有效数字签名,使很多杀毒厂商将其误认为合法软件。目前仅360杀毒和安全卫士能够拦截查杀“比比看”木马。
  
  
  
  

回复

举报

xflcx1991
发表于 2013-12-30 13:07:12 | 显示全部楼层
类似3721?有些用但是流氓的插件?
谁能代写个申请,吊销这家公司的这个证书。
回复

举报

daojianwuhen
发表于 2013-12-30 16:24:19 来自手机 | 显示全部楼层
xflcx1991 发表于 2013-12-30 13:07
类似3721?有些用但是流氓的插件?
谁能代写个申请,吊销这家公司的这个证书。

我觉得类似百度搜霸吧来自: Android客户端
回复

举报

allance
头像被屏蔽
发表于 2013-12-30 17:26:19 | 显示全部楼层
有装杀软在安装比比看时杀软应该会弹出提示的
因为会向system32下释放
回复

举报

Flameocean
发表于 2013-12-30 17:28:20 | 显示全部楼层
这个木马是我之前在样本区上传的一个捆绑流氓软件被发现的
回复

举报

lovehhy
发表于 2013-12-30 19:24:10 | 显示全部楼层
可惜他们做晚了,成王败寇,10年前做这个,绝对是3721
回复

举报

阿菠萝密
发表于 2013-12-30 21:31:16 | 显示全部楼层
图片太小,看不清楚,文字太多了。
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-5 03:12 , Processed in 0.250581 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表