360独家查杀恶意强插广告的比比看木马
最近有网友反馈,访问一些常用网站和使用搜索引擎时,网页中频繁出现来自名为51sole.com(搜了网)的恶意广告。经360安全中心对样本进行分析,发现这是用户电脑感染一款名为“比比看”的木马插件造成的。
图1:目前仅360杀毒和360安全卫士可对“比比看”木马进行查杀
据悉,“比比看”木马样本伪装成名为“比比看购物助手”的比价插件,该插件的劫持列表中有多达940个域名,覆盖国内所有知名网站。木马传播者采用众多的推广渠道,用户如在不良下载站下载软件、在视频站下载播放器,都有可能被安装“比比看”木马。
据360安全专家分析,用户下载并点击打开“比比看”木马安装包后,该木马启动会向系统文件下释放:升级程序和篡改IE内核浏览器的插件,并通过升级程序将用户计算机的信息提交到51sole后台。
除了通过插件劫持IE外,木马还会检测系统中安装的Chrome内核浏览器,并针对此类浏览器用户偷偷下载安装一个Chrome插件,实现对Chrome内核浏览器的劫持。
不法分子利用木马插件,通过在搜索页面中植入代码,在搜索结果中插入自己的信息。并将脚本指向51sole的服务器,通过控务器的脚本,攻击者可以随意添加任意内容到用户的页面中,以达到强插广告的目的。
图2:搜索结果被“比比看”木马强插广告
由于“比比看”木马插件使用了“深圳市搜了信息技术有限公司”的有效数字签名,使很多杀毒厂商将其误认为合法软件。目前仅360杀毒和安全卫士能够拦截查杀“比比看”木马。
360安全专家提示,如果电脑近期频繁出现被强插广告的现象,应及时下载使用360杀毒或360安全卫士进行查杀,以免“比比看”木马暗中控制电脑,威胁用户对电脑的正常使用,避免进一步的损失。
