欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

网页上的传染源:“PM2.5报告”插件实为恶意病毒软件广告注射器

来源:本站整理 作者:佚名 时间:2017-09-15 TAG: 我要投稿

网站经由过程投放告白来得到支出,这本无可非议。然则人人有无想过,这些页面告白真的都是网站本身投放的么?实在并不一定,360互联网网络安全中间克日就发明了如许一款歹意软件,它会向用户失常拜访的网页中拔出各类低俗乃至是讹诈类的告白。
该歹意软件主领会伪装成“PM2.5申报”法式,被装置后静默向Chrome内核浏览器装置扩大、向IE浏览器装置BHO插件进而拔出告白。相较于咱们在2015年宣布的分析申报《“国产”告白注射器分析:以比价名义强插各大网站》中所说起的歹意软件,该软件堪称有过之而无不及。
“PM2.5申报”歹意法式流程简图:

软件主体
该软件的主体装置法式会主动检测以后运转情况,若检测到本身正被调试,则主动停止过程。

BHO插件
BHO(Browser Helper Object),即浏览器帮助工具,是作为IE浏览器的插件被应用的。而歹意软件主体法式被装置后,便会同时向IE浏览器中拔出一个名为“Cyynb Breath”的BHO插件:

该插件会云控获取的配置文件skin2.zip(GifBag.edb、png?www.myhack58.comBag.edb),能够看到其对哪些网站停止注入告白都由云端规矩节制

以后读取GifBag.edb、png?www.myhack58.comBag.edb两个文件的内容:

此中png?www.myhack58.comBag.edb为该插件在拔出告白时要避开的网站或ID,内容如下:

而GifBag.edb文件中则是用于插告白的代码:

GifBag.edb中含带有必要插告白网站的完备列表,如下:

Chrome浏览器扩大
软件主体一旦发明Chrome浏览器(或应用Chrome内核的相干浏览器),则开释crx法式(ChRome eXtension,即Chrome浏览器扩大法式):

图标如下:

该扩大会改动用户关上的页面内容,向页面中拔出其告白js代码:

经由过程检查被拔出的js剧本,异样能够看到其告白推行行动同BHO插件异样,也是针对特定网站的。而经由过程拔出云端js剧原来节制用户网页浏览的长处也很显著:一方面云端剧本的内容便利随时改动,应用起来比拟机动;另一方面对付通俗用户来讲根本毫无感知,难以觉察。
被拔出告白网站列表中席卷了网易、QQ空间、凤凰网、搜狐等36个网站的一切包括.htm、.asp、.shtm后缀的网页页面。

而相似的,该告白剧本也含有一个白名单列表,即碰到如下这些网站,告白剧本是不事情的。此中包括各类政府网站、淘宝网、人民网、12306、baidu等。

拔出告白相干代码还经由过程设置/读取Cookie的方法,完成统一网站30分钟内再次关上不再呈现告白。

而且此中还含有对告白展现的数目统计:

浏览器被拔出告白实测后果

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载