查看: 8236|回复: 26
收起左侧

[技术原创] 联通官网携带木马脚本 可向用户推广色情APP

   关闭 [复制链接]
火绒工程师
发表于 2020-11-12 18:59:15 | 显示全部楼层 |阅读模式
本帖最后由 火绒工程师 于 2020-11-12 19:10 编辑

【快讯】
近期,火绒接到用户反馈,称在登录中国联通官网办理业务时被火绒报毒。火绒工程师查看后,发现中国联通官网携带木马脚本(Trojan/JS.Redirector)。当用户访问其中某“业务办理记录”页面时,即会激活木马脚本,导致用户被强行跳转到其他推广页面上,推广内容包含色情及游戏等。不仅如此,该木马脚本还被设定为一天只跳转一次,降低用户警惕性,以便长期存留于该页面。

值得注意的是,联通官网的移动端和PC端都存在上述木马脚本,虽然强行跳转现象目前仅出现在移动端,但不排除未来出现在PC端的可能性。火绒用户无需担心,火绒安全软件可拦截该木马脚本和网页。



最后,为避免更多用户受该木马脚本影响,我们建议中国联通官方尽快排查上述问题。通过此次事件反映出内容审查和安全检测对官方平台的重要性,我们也希望能通过此次报告,引起相关平台开发人员、管理人员的重视,及时加强安全审查力度,保障广大用户安全。

附:【分析报告】

一、详细分析

近期根据用户反馈,我们对联通官网中某页面代码进行分析,发现该页面中被植入了木马脚本(Trojan/JS.Redirector),该木马脚本逻辑执行后会控制用户当前页面跳转到色情及游戏等广告页面。脚本代码逻辑中控制了每天的访问次数,每天仅会访问一次。我们初步推测其控制服务器在下放广告链接时,也会对用户每天的访问次数进行限制。现阶段我们发现,在被植入相同代码的情况下,只有手机端浏览器可以复现跳转过程(控制服务器可能针对浏览器UA进行了判断),但是不排除PC端浏览器也会出现相同跳转行为的可能性。跳转流程,如下图所示:


跳转流程



跳转到的色情APP广告,如下图所示:


从联通官网页面跳转到的色情广告



联通官网“业务办理记录”页面代码,如下图所示:


联通官网“业务办理记录”页面代码



上图中的tj1.js木马脚本会先向控制服务器地址请求跳转相关的网址链接内容,之后控制当前页面进行跳转。tj1.js脚本内容,如下图所示:


请求tj1.js脚本内容



脚本内容,如下图所示:


木马脚本内容



链接存放页面返回结果,如下图所示:


代码执行流程



后续跳转流程,依次如下图所示:


第一次跳转




第二次跳转




第三次跳转




第四次跳转




最终跳转到色情APP广告页面



经过我们进一步溯源,上述木马脚本早在2016年10月份就已经在联通官网页面中出现。相关页面情况,如下图所示:


历史页面内容



有些用户可能会偶尔遇到,在访问网页时突然被跳转到其他广告页面的情况。我们通过火绒终端威胁情报系统发现,引用有相同木马脚本的站点并非只有联通官网,所以上述分析可能可以给用户遇到类似跳转现场提供参考依据。除前文中提到的色情广告外,现阶段监测到的部分其他被推广链接,如下图所示:


游戏广告




色情APP广告



二、 附录
样本hash






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +2 收起 理由
YorkWaugh + 1 版区有你更精彩: )
古月哥欠 + 1 感谢解答: )

查看全部评分

wrb116
发表于 2020-11-12 19:07:23 | 显示全部楼层
这就过了啊……
dsb2466
头像被屏蔽
发表于 2020-11-12 20:52:51 | 显示全部楼层
曾经的业务域名过期了,被其他人买去做黑灰产了,然后曾经挂着这些外链的页面又没下线,就这样了。

话说这种情况,越老、越大的网站,更有可能存在,毕竟这些域名以前是有正常的业务(联通那个就很像一个统计上报域名),年久失修就长草了。。。

评分

参与人数 1人气 +1 收起 理由
翼风Fly + 1 +1

查看全部评分

huicuan
发表于 2020-11-12 20:59:02 来自手机 | 显示全部楼层
没见其他安全软件提示啊,上传样本我们大伙乐呵乐呵
puxinqin
发表于 2020-11-12 21:06:19 | 显示全部楼层
赞,发现问题解决问题就是王道
vm001
发表于 2020-11-12 22:52:03 | 显示全部楼层
huicuan 发表于 2020-11-12 20:59
没见其他安全软件提示啊,上传样本我们大伙乐呵乐呵

https://bbs.kafan.cn/thread-2194637-1-1.html

给...............
ELOHIM
发表于 2020-11-12 22:53:23 | 显示全部楼层


GDATA
JS:Trojan.Cryxos.2732

NANO
Trojan.Script.Heuristic-js.iacgm

IKARUS
Trojan.JS.Agent



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
huicuan
发表于 2020-11-12 23:35:35 来自手机 | 显示全部楼层
vm001 发表于 2020-11-12 22:52
https://bbs.kafan.cn/thread-2194637-1-1.html

给...............

谢谢你怎么弄到的
dsb2466
头像被屏蔽
发表于 2020-11-13 09:25:57 | 显示全部楼层
huicuan 发表于 2020-11-12 23:35
谢谢你怎么弄到的

文中地址不都写出来了么
a8855942
发表于 2020-11-13 10:39:15 | 显示全部楼层
联通真不注意。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 09:21 , Processed in 0.127688 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表