搜索
查看: 1970|回复: 10
收起左侧

[病毒样本] ADSafe 恶意流量劫持样本

[复制链接]
191196846
发表于 2018-3-9 23:35:47 | 显示全部楼层 |阅读模式
本帖最后由 191196846 于 2018-3-10 08:12 编辑

http://bbs.huorong.cn/thread-44713-1-1.html

知名软件ADSafe暗藏恶意代码 从众多网站劫持流量
一、概述
日前,火绒安全团队发现"ADSafe净网大师"、"清网卫士"、 "广告过滤大师"等多款知名软件暗藏恶意代码,偷偷劫持用户流量。这些软件出自同一公司,功能类似,主要是屏蔽网页广告。根据技术分析,三款软件都会通过替换计费名(不同网站和上游分成的标识)的方式来劫持流量,牟取暴利。其劫持网站数量为近年最多,已达50余家,包括国内多家知名导航站、电商以及在线消费交易平台等。更可怕的是,"ADSafe"劫持规则可随时通过远程操作被修改,不排除其将来用来执行其他恶意行为的可能性,存在极大安全隐患。

图1
火绒安全团队发现,"ADSafe"官网的软件版本虽然停留在v4.0.610,但其论坛、下载站中却发布了v5.3版。根据技术分析,"清网卫士"、"广告过滤大师"和v5.3版"ADSafe"的功能、广告过滤规则,以及恶意代码都完全一样,可以认定,"清网卫士"和"广告过滤大师"软件其实就是"ADSafe"的最新版本,都会通过替换计费名(不同网站和上游分成的标识)的方式来劫持流量,牟取暴利。
目前,"ADSafe"(v5.3及以上版本)和"清网卫士"等软件正在通过国内各大下载站、官网以及官方论坛大肆传播。用户电脑中只要装了上述软件,网站中(如 图2)产生的流量都会被劫持。

样本下载地址

WD MISS
pal家族
发表于 2018-3-9 23:50:14 | 显示全部楼层
本帖最后由 pal家族 于 2018-3-10 00:12 编辑

我看adsafe官人还来不来。。。。
我记错拉,那是adm,不知道adm现在还会不会被杀软报毒
墨尔本雨夹雪
发表于 2018-3-10 00:00:56 | 显示全部楼层
家里电脑还安装着呢。。
ziyerain2015
发表于 2018-3-10 00:13:43 | 显示全部楼层
之前有个ADSafe的浏览器插件不知道会不会!
狐狸糊涂
发表于 2018-3-10 08:33:52 | 显示全部楼层
卡巴显示信任
安全守护者
发表于 2018-3-10 09:16:20 | 显示全部楼层
一直都0字节。。。楼主可不可以用国内的网盘呀
191196846
 楼主| 发表于 2018-3-10 10:31:29 | 显示全部楼层
安全守护者 发表于 2018-3-10 09:16
一直都0字节。。。楼主可不可以用国内的网盘呀

额, Business 的服务器是在国内的
安全守护者
发表于 2018-3-10 10:46:38 | 显示全部楼层
191196846 发表于 2018-3-10 10:31
额, Business 的服务器是在国内的

但老是空包。。。算了我按火绒的方法找到了样本
ziyerain2015
发表于 2018-3-10 16:06:03 | 显示全部楼层
360 HMP  ZEMANA Miss
Dust-;羅錠
发表于 2018-3-10 20:22:45 | 显示全部楼层
Ikarus

adsafe_5.3.117.9800.exe - SIGNATURE FOUND PUA.AdSkip

adoff.v1.0.920.5300.exe没有反应,应该没有侦测到流量劫持的特征,只是歪打正着。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2018-6-18 21:43 , Processed in 0.040458 second(s), 2 queries , Redis On.

快速回复 返回顶部 返回列表