第三方外包團(tuán)隊(duì)所為！百度承認(rèn)旗下網(wǎng)站暗藏惡意代碼

　　近日，第三方網(wǎng)絡(luò)安全研究機(jī)構(gòu)火絨安全實(shí)驗(yàn)室宣稱，百度旗下兩家網(wǎng)站https://www.skycn.net/和soft.hao123.com中暗藏惡意代碼。對(duì)于上述情況，百度方面日前通過(guò)旗下微博認(rèn)證帳號(hào)“Hao123”回應(yīng)稱，相關(guān)問題確實(shí)存在，并向用戶致歉。

　　今年2月28日，火絨安全實(shí)驗(yàn)室發(fā)布報(bào)告《百度旗下網(wǎng)站暗藏惡意代碼 劫持用戶電腦瘋狂“收割”流量》，稱經(jīng)火絨安全實(shí)驗(yàn)室截獲、分析、追蹤并驗(yàn)證，當(dāng)用戶從百度旗下的https://www.skycn.net/和 https://soft.Hao123.com/這兩個(gè)網(wǎng)站下載任何軟件時(shí)，都會(huì)被植入惡意代碼。該惡意代碼進(jìn)入電腦后，會(huì)通過(guò)加載驅(qū)動(dòng)等各種手段防止被卸載，進(jìn)而長(zhǎng)期潛伏，并隨時(shí)可以被“云端”遠(yuǎn)程操控，用來(lái)劫持導(dǎo)航站、電商網(wǎng)站、廣告聯(lián)盟等各種流量。

　　火絨實(shí)驗(yàn)室表示，近期接到數(shù)名電腦瀏覽器被劫持的用戶求助，在分析被感染電腦時(shí)，提取到多個(gè)和流量劫持相關(guān)的可疑文件：HSoftDoloEx.exe 、bime.dll 、MsVwmlbkgn.sys、LcScience.sys、WaNdFilter.sys，這些可疑文件均包含百度簽名。

　　這些包含惡意代碼的可疑文件，被定位到一個(gè)名叫nvMultitask.exe的釋放器上，當(dāng)用戶在https://www.skycn.net/和https://soft.Hao123.com/這兩個(gè)下載站下載任何軟件時(shí)，都會(huì)被捆綁下載該釋放器，進(jìn)而向用戶電腦植入這些可疑文件。需要強(qiáng)調(diào)的是，下載器運(yùn)行后會(huì)立即在后臺(tái)靜默釋放和執(zhí)行釋放器nvMultitask.exe，植入惡意代碼，即使用戶不做任何操作直接關(guān)閉下載器，惡意代碼也會(huì)被植入。

　　根據(jù)分析和溯源，最遲到2016年9月，這些惡意代碼即被制作完成。而操縱流量劫持的“遠(yuǎn)程開關(guān)”于近期被開啟，被感染的電腦會(huì)被按照區(qū)域和時(shí)段等條件，或者是隨機(jī)地被“選擇”出來(lái)，進(jìn)行流量劫持——安全業(yè)界稱之為“云控劫持”。

　　對(duì)于火絨實(shí)驗(yàn)室的爆料，Hao123在今日進(jìn)行了回應(yīng)并表示，火絨實(shí)驗(yàn)室曝出相關(guān)信息后，百度在第一時(shí)間進(jìn)行了緊急排查，并發(fā)現(xiàn)問題確實(shí)存在，被影響的電腦會(huì)出現(xiàn)瀏覽器、網(wǎng)址導(dǎo)航被劫持等使用問題，還篡改、偽裝網(wǎng)站聯(lián)盟鏈接，騙取百度流量收入分成。

　　Hao123透露，目前掌握的情況有：

　　1.上述網(wǎng)址提供的Hao123軟件下載器，系第三方外包團(tuán)隊(duì)開發(fā)，在下載平臺(tái)中植入了存在風(fēng)險(xiǎn)的驅(qū)動(dòng)程序，涉嫌被網(wǎng)絡(luò)黑產(chǎn)利用，以騙取百度聯(lián)盟分成為目的，劫持用戶流量，傷害用戶體驗(yàn)，從中非法牟利；

　　2.接到舉報(bào)后，Hao123第一時(shí)間清楚所有受感染的下載器，并將查殺信息同步提供給了騰訊、360、綠盟等安全廠商，并開發(fā)專殺工具，全面查殺、清除該類惡意代碼，預(yù)計(jì)用戶在3月4日后可從Hao123網(wǎng)站首頁(yè)下載使用；

　　3.Hao123方面已就此事向公安機(jī)關(guān)報(bào)案，將協(xié)助監(jiān)管部門后續(xù)跟進(jìn)；

　　4.百度承諾加強(qiáng)監(jiān)管機(jī)制，杜絕該類事件再發(fā)生。

　　對(duì)于該事件的后續(xù)進(jìn)展，百度方面表示，由于已經(jīng)向公安機(jī)關(guān)報(bào)案，為了不干擾警方辦案，不便透露其它的信息。