“净广大师”病毒攻破 HTTPS防线 劫持百度搜索流量牟利

潘中医

近期，火绒团队截获一个由商业软件携带的病毒，并以其载体命名为“净广大师”病毒。在目前广为流行的“流量劫持”类病毒中，该病毒策略高明、技术暴力，并攻破HTTPS的“金钟罩”，让百度等互联网厂商普遍使用的反劫持技术面临严峻挑战。

根据用户反馈，火绒团队截获一个新的劫持类病毒，该病毒通过网络过滤驱动劫持百度搜索流量进行牟利，劫持手法十分暴力，致使UC等知名浏览器甚至无法正常访问百度搜索页面。根据对用户现场调查，并借助“火绒威胁情报系统”追踪源头，我们发现该病毒是由一个名为“净广大师”的广告拦截软件释放并加载的。

“净广大师”软件安装后，会释放一个名为rtdxftex.sys的驱动程序，该驱动程序具有很强的内核级对抗能力。被感染之初，用户不会感觉到任何异样，但该病毒驱动文件名会随着重启不断变换，以此来躲避安全厂商的截杀和代码分析。即使“净广大师”被卸载，该病毒功能依然会随机激活，劫持用户的搜索流量。

更重要的是，该病毒为火绒今年首次截获的突破HTTPS加密通信协议的恶意程序。如下图所示，该病毒可以劫持基于HTTPS的百度搜索的流量：

  
病毒劫持百度搜索页面

该病毒被激活后，会检测访问百度搜索的计费ID，如果非病毒自身的计费ID则无法正常访问百度搜索，使得所有浏览器只能访问带有病毒计费ID的百度搜索页面。如下图所示：

非病毒计费号访问百度展示图

  
该病毒除网络过滤外，还通过文件过滤驱动阻止其他程序对其驱动文件进行访问，在打开该驱动文件信息时无法得到该文件的完整信息。如下图所示：

  
图2、病毒驱动信息（左为病毒加载后截图、右为实际文件信息）

  
图3、病毒签名信息

  
“净广大师”的官网自称，该软件通过了多家安全厂商的认证，如下图所示：

  
“火绒安全软件”已经针对病毒母体“净广大师”软件和官网进行全面的拦截和查杀。针对病毒驱动程序，我们也已经将其相应的清除方法加入到了火绒专杀工具中。如图所示：


广大用户安装“火绒安全软件”即可对该病毒进行有效拦截查杀，如果已经感染该病毒，建议下载火绒专杀工具对该病毒进行清除。
火绒安全团队将持续追踪查杀该病毒可能出现的变种，如果您的浏览器有被该病毒感染的症状，可以到火绒论坛反馈相关情况。

火绒安全软件下载地址：http://www.huorong.cn/downv4.html
专杀工具下载地址：https://down5.huorong.cn/hrkill.exe


转自：http://bbs.huorong.cn/thread-18766-1-1.html

反病毒测试员

/对这种事情 不能多说什么

dg1vg4

净广大师的那个恶心驱动早在之前就被瑞星发现了，虽然还是楼上这位提供的线索。
看到一排的杀毒软件图标，我感到深切的厚颜无耻。
但是，瑞星没有对母体进行追杀。

反病毒测试员

dg1vg4 发表于 2016-12-16 11:12
净广大师的那个恶心驱动早在之前就被瑞星发现了，虽然还是楼上这位提供的线索。
看到一排的杀毒软件图标， ...

所以说这事情我不方便多说什么 我独创了巧用瑞星联盟版轻松干掉了那个净广大师驱动 话说这玩意不是一般的恶心

dg1vg4

反病毒测试员 发表于 2016-12-16 11:18
所以说这事情我不方便多说什么 我独创了巧用瑞星联盟版轻松干掉了那个净广大师驱动 话说这玩意不是 ...

层主好diao

zmyx279323199

我看到了驱动人生的图标，这货也能杀毒？

ese567

如果火绒的图标也在上面的话.........

尤金丶卡巴斯基

dg1vg4 发表于 2016-12-16 11:21
层主好diao

你好，你们两个是来说相声的吗？“净广大师的那个恶心驱动早在之前就被瑞星发现了”早发现了不发技术文章？现在火绒来发了，又说这种话。
你们俩个在卡饭这样“拥护”瑞星，真的会抹黑瑞星的好吗？真的会让人感觉恶心好吗？
求你们俩别再一唱一和了，真的，你们不觉得你们这种行为是在拖瑞星的后腿吗？

changy

原来火绒的网页防护一直存在啊，刚才打开这个官网直接拦截了，第一次看到火绒的网页防护。。。

changy

尤金丶卡巴斯基 发表于 2016-12-16 12:05
你好，你们两个是来说相声的吗？“净广大师的那个恶心驱动早在之前就被瑞星发现了”早发现了不发技术文章 ...

同意，有几个不知道是瑞星工作人员还是水军，或者是瑞星死忠，一密顶十黑