木马“盗用”百度签名篡改首页和收藏夹

zhq445078388

原帖:http://bobao.360.cn/learning/detail/2739.html
来源：360安全播报 作者：360安全卫士

最近360反病毒团队接到用户反馈，说被莫名奇妙的修改了首页，同时浏览器的收藏夹里也莫名其妙的多出了很多收藏站点。
经过360反病毒团队的排查，发现用户是误运行了广告程序导致的首页和收藏夹被篡改——这些年广告程序越来越多，本也不算稀奇，但令我们感到意外的是改首页和添加收藏夹的程序。
先说说这个改首页的程序。
程序MD5：be7f33d7920e94e81710c0389c351b6f
数字签名：BeiJing Baidu Netcom Science Technology Co., Ltd

竟然是百度公司的签名，并加了UPX的压缩壳，而程序的产品名称更是令人费解（qingzao是什么鬼？）：


双击运行安装包，无需带任何特殊参数，安装包便会很自觉的在完全没有界面情况下静默运行，向WinHomeLocker目录下释放程序组件：

释放的全部文件如下，并且释放的全部可执行程序全都和安装包一样带有百度的数字签名并用UPX方式压缩，同时产品名称全都是qingzao：

文件名
MD5
uninstall.exe
4ff2ee2595dd81f40aa1f131f475c66d
locker64.exe
b0f5b9067d24fdf853a05c2578374739
locker32.exe
1e68bfc1c31ac16f90c9addb8186021d
HPHelper64.dll
0a467834433a93533686faa96df6014c
HPHelper32.dll
844024a1824981923d705ba26350110e
HomePageLocker.exe
1c50b75d3432718504026cf984bda1d3
HomeLockerUpdateServices.dll
74358740900f49f727aff515c45418de
文件释放完成后，还会通过调用系统的regsvr32.exe将程序目录下的HomeLockerUpdateServices.dll添加为服务：

添加服务后，会以“/update”为参数启动HomePageLocker.exe程序。

而HomePageLocker.exe比对启动参数时发现是update参数后，则执行指定的升级操作

到这个www.microrui.net的域名下去获取更新信息


而同时被启动的，还有目录下的locker32.exe程序，该程序则会通过在线获取或读配置文件的方式获取改首页信息




同时会在每次浏览器打开的时候，向whtj.meijucenter.com发起统计打点信息。



当中涉及的两个域名均看不出和百度公司有任何关系。
microrui.net有一个名为“麦克罗锐”的上海备案，而whois信息显示注册人名为“WANGRUI” （根据注册邮箱反查应该是一个叫做“王锐”的人）



而另一个meijucenter.com则更加神秘——没有备案，注册信息也购买了隐私保护服务。

安装完成后，桌面和系统托盘上都看不到任何有程序被安装的痕迹，开始菜单里倒是能找到，只是位置稍有些奇葩，而且开始菜单中也没有提供卸载的快捷程序的方式。

点击程序之后……为什么程序标题被盖住了？为什么主页写了个360？你锁定的明明是hao123啊……深感疑惑。


再说说篡改收藏夹的程序。
程序MD5：bf74e8e97c78171eee87e06d264f0491
数字签名：BeiJing Baidu Netcom Science Technology Co., Ltd

同样的签名，虽说没加UPX的压缩壳，但产品名称同样看不懂：

该程序会在线获取配置文件，并对其解码得到要推广的网站列表和图标。


然后将获取到的url链接文件写到浏览器收藏夹中：

效果显著：


以上两个程序的出现完全出乎了我们的预料，完全无法理解为什么这两个有着如此多诡异行为的程序会被打上了百度公司的签名，希望百度公司能追查一下此事，看是否是有人利用职务之便给自己的程序打上了百度公司的签名谋取商业利益。

zhq445078388

qingzao清早是么

vm001

没有提示下，用户一般是如何中招或者说用户是从哪里下载到这个程序的

我是隔壁的小号

这种事情找百度背黑锅不好吧？
就像标题说的，【盗用】，很多是各种联盟推广的结果，百度只是提供了对应的【安装包获取渠道】吧。

C-FBI-QM

百度可能躺枪
百度怎么会搞这种地球人都读不懂的文件名

kxmp

大青枣

afire521

之前我父亲的电脑里也中过类似的玩意……  不知道他们想干嘛，后来我默默的把产生的文件都删了，但是源程序不太好找，通过签名判断不出来，服务和进程也没啥异常，可能不小心被干掉了吧。

好奇怪。

龚永河

感觉度娘真是躺枪了。。数字这一手

zhq445078388

龚永河 发表于 2016-2-17 15:24
感觉度娘真是躺枪了。。数字这一手

躺枪 == 百度躺倒枪口上然后自己扣了扳机?

ELOHIM

360用户不是都有锁定浏览器主页啊，搜索引擎的吗？