ADSafe 恶意流量劫持样本

显示全部楼层 · 发表于 2018-3-9 23:35:47

本帖最后由 191196846 于 2018-3-10 08:12 编辑

http://bbs.huorong.cn/thread-44713-1-1.html

知名软件ADSafe暗藏恶意代码从众多网站劫持流量

一、概述
日前，火绒安全团队发现"ADSafe净网大师"、"清网卫士"、 "广告过滤大师"等多款知名软件暗藏恶意代码，偷偷劫持用户流量。这些软件出自同一公司，功能类似，主要是屏蔽网页广告。根据技术分析，三款软件都会通过替换计费名（不同网站和上游分成的标识）的方式来劫持流量，牟取暴利。其劫持网站数量为近年最多，已达50余家，包括国内多家知名导航站、电商以及在线消费交易平台等。更可怕的是，"ADSafe"劫持规则可随时通过远程操作被修改，不排除其将来用来执行其他恶意行为的可能性，存在极大安全隐患。

图1
火绒安全团队发现，"ADSafe"官网的软件版本虽然停留在v4.0.610，但其论坛、下载站中却发布了v5.3版。根据技术分析，"清网卫士"、"广告过滤大师"和v5.3版"ADSafe"的功能、广告过滤规则，以及恶意代码都完全一样，可以认定，"清网卫士"和"广告过滤大师"软件其实就是"ADSafe"的最新版本，都会通过替换计费名（不同网站和上游分成的标识）的方式来劫持流量，牟取暴利。
目前，"ADSafe"（v5.3及以上版本）和"清网卫士"等软件正在通过国内各大下载站、官网以及官方论坛大肆传播。用户电脑中只要装了上述软件，网站中（如图2）产生的流量都会被劫持。

样本下载地址

WD MISS

显示全部楼层 · 发表于 2018-3-9 23:50:14

本帖最后由 pal家族于 2018-3-10 00:12 编辑

我看adsafe官人还来不来。。。。
我记错拉，那是adm

，不知道adm现在还会不会被杀软报毒

显示全部楼层 · 发表于 2018-3-10 00:00:56

家里电脑还安装着呢。。

显示全部楼层 · 发表于 2018-3-10 00:13:43

之前有个ADSafe的浏览器插件不知道会不会！

显示全部楼层 · 发表于 2018-3-10 08:33:52

卡巴显示信任

显示全部楼层 · 发表于 2018-3-10 09:16:20

一直都0字节。。。楼主可不可以用国内的网盘呀

显示全部楼层 · 发表于 2018-3-10 10:31:29

安全守护者发表于 2018-3-10 09:16
一直都0字节。。。楼主可不可以用国内的网盘呀

额， Business 的服务器是在国内的

显示全部楼层 · 发表于 2018-3-10 10:46:38

191196846 发表于 2018-3-10 10:31
额， Business 的服务器是在国内的

但老是空包。。。算了我按火绒的方法找到了样本

显示全部楼层 · 发表于 2018-3-10 16:06:03

360 HMP ZEMANA Miss

显示全部楼层 · 发表于 2018-3-10 20:22:45

Ikarus

adsafe_5.3.117.9800.exe - SIGNATURE FOUND PUA.AdSkip

adoff.v1.0.920.5300.exe没有反应，应该没有侦测到流量劫持的特征，只是歪打正着。

[病毒样本] ADSafe 恶意流量劫持样本