火绒安全软件

标题: 【分析报告】“净广大师”病毒攻破 HTTPS防线劫持百... [打印本页]

作者: 疯子 时间: 2016-12-15 18:55
标题: 【分析报告】“净广大师”病毒攻破 HTTPS防线劫持百...
近期，火绒团队截获一个由商业软件携带的病毒，并以其载体命名为“净广大师”病毒。在目前广为流行的“流量劫持”类病毒中，该病毒策略高明、技术暴力，并攻破HTTPS的“金钟罩”，让百度等互联网厂商普遍使用的反劫持技术面临严峻挑战。

根据用户反馈，火绒团队截获一个新的劫持类病毒，该病毒通过网络过滤驱动劫持百度搜索流量进行牟利，劫持手法十分暴力，致使UC等知名浏览器甚至无法正常访问百度搜索页面。根据对用户现场调查，并借助“火绒威胁情报系统”追踪源头，我们发现该病毒是由一个名为“净广大师”的广告拦截软件释放并加载的。

“净广大师”软件安装后，会释放一个名为rtdxftex.sys的驱动程序，该驱动程序具有很强的内核级对抗能力。被感染之初，用户不会感觉到任何异样，但该病毒驱动文件名会随着重启不断变换，以此来躲避安全厂商的截杀和代码分析。即使“净广大师”被卸载，该病毒功能依然会随机激活，劫持用户的搜索流量。

更重要的是，该病毒为火绒今年首次截获的突破HTTPS加密通信协议的恶意程序。如下图所示，该病毒可以劫持基于HTTPS的百度搜索的流量：

病毒劫持百度搜索页面

该病毒被激活后，会检测访问百度搜索的计费ID，如果非病毒自身的计费ID则无法正常访问百度搜索，使得所有浏览器只能访问带有病毒计费ID的百度搜索页面。如下图所示：

非病毒计费号访问百度展示图

该病毒除网络过滤外，还通过文件过滤驱动阻止其他程序对其驱动文件进行访问，在打开该驱动文件信息时无法得到该文件的完整信息。如下图所示：

图2、病毒驱动信息（左为病毒加载后截图、右为实际文件信息）

图3、病毒签名信息

“净广大师”的官网自称，该软件通过了多家安全厂商的认证，如下图所示：

“火绒安全软件”已经针对病毒母体“净广大师”软件和官网进行全面的拦截和查杀。针对病毒驱动程序，我们也已经将其相应的清除方法加入到了火绒专杀工具中。如图所示：

广大用户安装“火绒安全软件”即可对该病毒进行有效拦截查杀，如果已经感染该病毒，建议下载火绒专杀工具对该病毒进行清除。
火绒安全团队将持续追踪查杀该病毒可能出现的变种，如果您的浏览器有被该病毒感染的症状，可以到火绒论坛反馈相关情况。

火绒安全软件下载地址：http://www.huorong.cn/downv4.html
专杀工具下载地址：https://bbs.huorong.cn/thread-18575-1-1.html

作者: FLY_MC 时间: 2016-12-15 19:20
沙发，支持个，最近有点冷。

作者: 透明的浮云 时间: 2016-12-15 19:31
总算知道问题在哪里了，不过这个专杀工具似乎不怎么有效

作者: 557 时间: 2016-12-15 20:39
中招过一次

作者: babaluosha22 时间: 2016-12-15 22:16
赞赞赞！！！！

作者: vun 时间: 2016-12-16 00:02
现在广告投放都开始以https的形式出现了，很多广告过滤软件都加驱以实现对https内容的过滤，据说”广告屏蔽大师“通过了火绒的认证，是这样吗？声明这不是广告...

作者: win10 时间: 2016-12-16 06:12
支持个，不过这个专杀工具?

作者: nat 时间: 2016-12-16 12:52
下载的专杀工具怎么版本号还是1.0.0.2

作者: nat 时间: 2016-12-16 12:53
上面那个截图是1.0.0.4

作者: 猥琐大叔 时间: 2016-12-16 16:29
用火绒不能直接解决？必须专杀工具？

作者: 啦啦啦 时间: 2016-12-16 20:21
皮城女警：好戏开场了！

http://www.ad-anti.com/gonggao.html

作者: pewu5 时间: 2016-12-16 20:49

啦啦啦发表于 2016-12-16 20:21
皮城女警：好戏开场了！

http://www.ad-anti.com/gonggao.html

只是说自己好火绒不好，并未就相关驱动被误报具体说明。

作者: 火星 时间: 2016-12-16 21:34

啦啦啦发表于 2016-12-16 20:21
皮城女警：好戏开场了！

http://www.ad-anti.com/gonggao.html

骗骗小全白

作者: cawyai23 时间: 2016-12-17 12:55
感觉她在指桑骂槐，她说的种种，直指数字啊！！

作者: 青龙桑 时间: 2016-12-17 14:31
如果该程序“净广大师”的确有火绒所说的行为，中国有关于这类问题的法律进行限制吗

作者: lszyqww 时间: 2016-12-17 15:42
看到专杀软件杀完了有个安装火绒软件的选项

还是默认勾上的，然后我就故意让它勾上然后点完成。本以为他会像那些安全软件也静默安装，结果只是运行了个安装包。哈哈，火绒这样做真好啊！只不过默认勾上的真的好吗。。

作者: qq892640791 时间: 2016-12-18 17:31

青龙桑发表于 2016-12-17 14:31
如果该程序“净广大师”的确有火绒所说的行为，中国有关于这类问题的法律进行限制吗 ...

管不了，如果有法律，第一个进去，的就是x卫士，36x，xx管家，

作者: xwsafe 时间: 2016-12-18 19:39
http://www.ad-anti.com/gonggao.html
这么抹黑绒儿大伙怎么看？
反正我的内心毫无波澜，甚至还想笑...

”'火绒'自定义为一款安全软件，然而稍了解其历史的人都知道，他们软件本身的作为堪称病毒软件之楷模！部分使用过其软件的用户向我们反馈，'火绒'会强制修改主页，用户根本没法修改回来；强制开机启动，取消开机启动项目后，又会自动勾选；锁定注册表，无法删除其相关的项；其安装文件夹无法删除，文件粉碎机都无法粉碎；在后台偷偷安装手机助手，游戏盒和网游，创建桌面快捷方式；将其软件卸载后，还会在用户系统盘里存留无法删除的驱动等。“
这说的是火绒吗？

作者: sxkk123 时间: 2016-12-18 20:53
用了你们的火绒，还是被劫持，怎么办？我qq302797180
一搜“火绒”网址栏显示这些
https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=1&rsv_idx=2&ch=&tn=98050039_dg&bar=&wd=%E7%81%AB%E7%BB%92&rsv_spt=1&oq=%E7%81%AB%E7%BB%92+%E8%AE%BA%E5%9D%9B&rsv_pq=8f011667000075d3&rsv_t=a6b0abN%2FwaoHmxlhFkjbOwg%2FYjbbA%2FR8rQuNMVqwqf1dwwMYZdbB5PR7a01%2Ff27hOzY&rqlang=cn&rsv_enter=1&inputT=3608

作者: Amarantine 时间: 2016-12-19 09:29

啦啦啦发表于 2016-12-16 20:21
皮城女警：好戏开场了！

http://www.ad-anti.com/gonggao.html

我看了这个帖子，真他妈想说“操”，什么游戏盒子，手机助手，这到底是哪儿来的功能，我晕，这简直就是胡黑乱黑啊

作者: yanhuanzhi 时间: 2016-12-19 09:44
哈哈净广大师居然还敢回复。。。

作者: 2643595423 时间: 2016-12-20 01:23

看这名字在看看隔壁的净网大师很明显的

作者: 56690354 时间: 2016-12-20 10:31
良心企业啊

作者: Kerin 时间: 2016-12-20 11:32
我就问如果火绒是大厂商，这病毒公司还敢发这样的诽谤信息么。
这社会真是..

作者: Allan.Cylakes 时间: 2016-12-20 13:49
本帖最后由 Allan.Cylakes 于 2016-12-20 18:12 编辑

几个月前中招，用尽了网上的办法都没有解决，但是当时没有想到是净光大师在作怪，于是只能将百度快捷的网址强制设置为IP地址才勉强得以正常访问，直到昨天火绒和金山提示净光大师根目录下的一个什么*svr.exe文件存在问题，在进行病毒操作什么的（因为已经卸载了净光大师，现在也记不清具体名字了，反正后缀不是svr就是srv的exe无图标启动文件），但是看签名确实是净光大师自己的信息，在知名在线查毒网站提交检查后发现只有金山报毒，但是因为个人已经起了疑心所以搜索净光大师的信息，于是找了火绒，卡饭和莫飘摇的相关病毒报告新闻，用卸载软件干掉净光大师后，又用火绒的专杀工具清理了一下，再访问百度的官方非IP域名地址，一切恢复正常..............真的是太可恨了，以后务必要小心这些乱七八糟的软件～

俺当时的情况是，百度主页域名看起来没有问题，但是logo无法显示，可复制logo图片地址到新窗口显示发现图片正常，但主页总觉得怪怪的，只要一搜索就连续3次跳转，然后后缀出现火绒告知的那种形式，网上的解决办法很多，但是一路测试完全无效，而且当时把注意力集中到百度本身和hao123，这两个本来也是流氓劫持的重点，所以没想到净光大师身上去；后来跳转问题变本加厉，出现别人提及的跳转10多次直接白屏的情况才很恼火，地址栏的搜索地址持续变化刷新，但是因为没有办法就将百度的域名改成了IP地址，才勉强得以解决，但是IP访问可能随机导致搜索页面的图片无法正常显示，点击百度其他功能可能继续跳回被劫持的域名范围，直到昨天通过莫飘摇看到火绒的这则报道才彻底解决。

其实从网上的反应来看，这种劫持非常普遍，净光大师只是tn/pg/pn/hao_********这个恶意劫持联盟的蟑鼠一员罢了，甚至还有网络服务提供商参与涉及，与之相关的团体言论在网络上还非常嚣张，大家务必要谨慎，尽量不要给这些牛鬼蛇神有任何可趁之机（想赚钱可以理解，但能不能别那么疯狂下作，严重影响用户使用百度搜索，这不是在坑你们的合作伙伴么，GNND）～

PS：不管净光大师怎么狡辩，至少配合火绒清除了净光大师后（点击净光大师自己的卸载竟然毫无反应，然后俺才如梦初醒，真是活见鬼），俺这边百度访问彻底恢复正常了，没有任何关联的话也不会这么快就药到病除；另外，火绒已经用了半年+，重来没有发现过火绒偷偷安装不干净软件，网游，或者***弹窗什么的，自保护程序么每个杀软都有（唯一不好的是，火绒的自保护无法被手动关闭，但是个人可以接受，毕竟你不想用杀软或者不想让杀软先保护自身不受感染的话，那还装上去干嘛），俺是超厌恶山寨手游/页游/网游那些劣质骗钱垃圾的传统任天堂，PS/XB/PC核心众，如果火绒真有做这种事儿，俺也懒得理他，但凡真正用过的非小白都知道～

事实上，净光大师最初是以山寨净网大师的形式出道的，无论外观和名称都非常相似，故有一定的迷惑性比如不小心错装，俺自己就是不小心眼花弄错的，但是因为当时并不知道这玩意儿有后台不轨行为存在也就没管，结果再后来......