联通官网携带木马脚本 可向用户推广色情APP

火绒工程师

【快讯】
近期，火绒接到用户反馈，称在登录中国联通官网办理业务时被火绒报毒。火绒工程师查看后，发现中国联通官网携带木马脚本（Trojan/JS.Redirector）。当用户访问其中某“业务办理记录”页面时，即会激活木马脚本，导致用户被强行跳转到其他推广页面上，推广内容包含色情及游戏等。不仅如此，该木马脚本还被设定为一天只跳转一次，降低用户警惕性，以便长期存留于该页面。

值得注意的是，联通官网的移动端和PC端都存在上述木马脚本，虽然强行跳转现象目前仅出现在移动端，但不排除未来出现在PC端的可能性。火绒用户无需担心，火绒安全软件可拦截该木马脚本和网页。

最后，为避免更多用户受该木马脚本影响，我们建议中国联通官方尽快排查上述问题。通过此次事件反映出内容审查和安全检测对官方平台的重要性，我们也希望能通过此次报告，引起相关平台开发人员、管理人员的重视，及时加强安全审查力度，保障广大用户安全。

附：【分析报告】

一、详细分析
近期根据用户反馈，我们对联通官网中某页面代码进行分析，发现该页面中被植入了木马脚本（Trojan/JS.Redirector），该木马脚本逻辑执行后会控制用户当前页面跳转到色情及游戏等广告页面。脚本代码逻辑中控制了每天的访问次数，每天仅会访问一次。我们初步推测其控制服务器在下放广告链接时，也会对用户每天的访问次数进行限制。现阶段我们发现，在被植入相同代码的情况下，只有手机端浏览器可以复现跳转过程（控制服务器可能针对浏览器UA进行了判断），但是不排除PC端浏览器也会出现相同跳转行为的可能性。跳转流程，如下图所示：

跳转流程

跳转到的色情APP广告，如下图所示：

从联通官网页面跳转到的色情广告

联通官网“业务办理记录”页面代码，如下图所示：

联通官网“业务办理记录”页面代码

上图中的tj1.js木马脚本会先向控制服务器地址请求跳转相关的网址链接内容，之后控制当前页面进行跳转。tj1.js脚本内容，如下图所示：

请求tj1.js脚本内容

脚本内容，如下图所示：

木马脚本内容

链接存放页面返回结果，如下图所示：

代码执行流程

后续跳转流程，依次如下图所示：

第一次跳转

第二次跳转

第三次跳转

第四次跳转

最终跳转到色情APP广告页面

经过我们进一步溯源，上述木马脚本早在2016年10月份就已经在联通官网页面中出现。相关页面情况，如下图所示：

历史页面内容

有些用户可能会偶尔遇到，在访问网页时突然被跳转到其他广告页面的情况。我们通过火绒终端威胁情报系统发现，引用有相同木马脚本的站点并非只有联通官网，所以上述分析可能可以给用户遇到类似跳转现场提供参考依据。除前文中提到的色情广告外，现阶段监测到的部分其他被推广链接，如下图所示：

游戏广告

色情APP广告

二、 附录
样本hash

wrb116

这就过了啊……

dsb2466

曾经的业务域名过期了，被其他人买去做黑灰产了，然后曾经挂着这些外链的页面又没下线，就这样了。

话说这种情况，越老、越大的网站，更有可能存在，毕竟这些域名以前是有正常的业务（联通那个就很像一个统计上报域名），年久失修就长草了。。。

huicuan

没见其他安全软件提示啊，上传样本我们大伙乐呵乐呵

puxinqin

赞，发现问题解决问题就是王道

vm001

huicuan 发表于 2020-11-12 20:59
没见其他安全软件提示啊，上传样本我们大伙乐呵乐呵

https://bbs.kafan.cn/thread-2194637-1-1.html

给...............

ELOHIM

GDATA
JS:Trojan.Cryxos.2732

NANO
Trojan.Script.Heuristic-js.iacgm

IKARUS
Trojan.JS.Agent

huicuan

vm001 发表于 2020-11-12 22:52
https://bbs.kafan.cn/thread-2194637-1-1.html

给...............

谢谢你怎么弄到的

dsb2466

huicuan 发表于 2020-11-12 23:35
谢谢你怎么弄到的

文中地址不都写出来了么

a8855942

联通真不注意。