第三方外包團隊所為！百度承認旗下網(wǎng)站暗藏惡意代碼

　　近日，第三方網(wǎng)絡(luò)安全研究機構(gòu)火絨安全實驗室宣稱，百度旗下兩家網(wǎng)站https://www.skycn.net/和soft.hao123.com中暗藏惡意代碼。對于上述情況，百度方面日前通過旗下微博認證帳號“Hao123”回應(yīng)稱，相關(guān)問題確實存在，并向用戶致歉。

　　今年2月28日，火絨安全實驗室發(fā)布報告《百度旗下網(wǎng)站暗藏惡意代碼 劫持用戶電腦瘋狂“收割”流量》，稱經(jīng)火絨安全實驗室截獲、分析、追蹤并驗證，當用戶從百度旗下的https://www.skycn.net/和 https://soft.Hao123.com/這兩個網(wǎng)站下載任何軟件時，都會被植入惡意代碼。該惡意代碼進入電腦后，會通過加載驅(qū)動等各種手段防止被卸載，進而長期潛伏，并隨時可以被“云端”遠程操控，用來劫持導(dǎo)航站、電商網(wǎng)站、廣告聯(lián)盟等各種流量。

　　火絨實驗室表示，近期接到數(shù)名電腦瀏覽器被劫持的用戶求助，在分析被感染電腦時，提取到多個和流量劫持相關(guān)的可疑文件：HSoftDoloEx.exe 、bime.dll 、MsVwmlbkgn.sys、LcScience.sys、WaNdFilter.sys，這些可疑文件均包含百度簽名。

　　這些包含惡意代碼的可疑文件，被定位到一個名叫nvMultitask.exe的釋放器上，當用戶在https://www.skycn.net/和https://soft.Hao123.com/這兩個下載站下載任何軟件時，都會被捆綁下載該釋放器，進而向用戶電腦植入這些可疑文件。需要強調(diào)的是，下載器運行后會立即在后臺靜默釋放和執(zhí)行釋放器nvMultitask.exe，植入惡意代碼，即使用戶不做任何操作直接關(guān)閉下載器，惡意代碼也會被植入。

　　根據(jù)分析和溯源，最遲到2016年9月，這些惡意代碼即被制作完成。而操縱流量劫持的“遠程開關(guān)”于近期被開啟，被感染的電腦會被按照區(qū)域和時段等條件，或者是隨機地被“選擇”出來，進行流量劫持——安全業(yè)界稱之為“云控劫持”。

　　對于火絨實驗室的爆料，Hao123在今日進行了回應(yīng)并表示，火絨實驗室曝出相關(guān)信息后，百度在第一時間進行了緊急排查，并發(fā)現(xiàn)問題確實存在，被影響的電腦會出現(xiàn)瀏覽器、網(wǎng)址導(dǎo)航被劫持等使用問題，還篡改、偽裝網(wǎng)站聯(lián)盟鏈接，騙取百度流量收入分成。

　　Hao123透露，目前掌握的情況有：

　　1.上述網(wǎng)址提供的Hao123軟件下載器，系第三方外包團隊開發(fā)，在下載平臺中植入了存在風險的驅(qū)動程序，涉嫌被網(wǎng)絡(luò)黑產(chǎn)利用，以騙取百度聯(lián)盟分成為目的，劫持用戶流量，傷害用戶體驗，從中非法牟利；

　　2.接到舉報后，Hao123第一時間清楚所有受感染的下載器，并將查殺信息同步提供給了騰訊、360、綠盟等安全廠商，并開發(fā)專殺工具，全面查殺、清除該類惡意代碼，預(yù)計用戶在3月4日后可從Hao123網(wǎng)站首頁下載使用；

　　3.Hao123方面已就此事向公安機關(guān)報案，將協(xié)助監(jiān)管部門后續(xù)跟進；

　　4.百度承諾加強監(jiān)管機制，杜絕該類事件再發(fā)生。

　　對于該事件的后續(xù)進展，百度方面表示，由于已經(jīng)向公安機關(guān)報案，為了不干擾警方辦案，不便透露其它的信息。