V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
miyuki
V2EX  ›  互联网

百度旗下网站暗藏恶意代码,劫持用户电脑疯狂“收割”流量

  •  1
     
  •   miyuki · 2017-03-01 21:38:53 +08:00 · 5236 次点击
    这是一个创建于 2857 天前的主题,其中的信息可能已经有所发展或是发生改变。
    https://zhuanlan.zhihu.com/p/25481281

    经火绒安全实验室截获、分析、追踪并验证,当用户从百度旗下的 http://www.skycn.net/http://soft.hao123.com/ 这两个网站下载任何软件时,都会被植入恶意代码。该恶意代码进入电脑后,会通过加载驱动等各种手段防止被卸载,进而长期潜伏,并随时可以被“云端”远程操控,用来劫持导航站、电商网站、广告联盟等各种流量。
    31 条回复    2017-03-02 14:18:18 +08:00
    zhaoto
        1
    zhaoto  
       2017-03-01 21:50:57 +08:00 via iPhone
    /吓掉下巴
    rekulas
        2
    rekulas  
       2017-03-01 22:12:49 +08:00
    你说的是不是下载站下载下来是网站做的 exe ,运行 exe 才开始下载之前选定的软件?现在很多下载站都在搞这种流氓行为,从来不敢下这种
    notgod
        3
    notgod  
       2017-03-01 22:16:55 +08:00
    这个事不是一直在干吗?
    软件这块
    百度搜索一些软件 让你安装 然后变全家桶
    升级版出来了?
    czc2004211
        4
    czc2004211  
       2017-03-01 22:19:05 +08:00 via iPhone
    不就是百度全家桶嘛
    binux
        5
    binux  
       2017-03-01 22:22:52 +08:00
    下载站一直这样啊,很新鲜吗?
    frozenthrone
        6
    frozenthrone  
       2017-03-01 22:34:12 +08:00 via iPhone   ❤️ 3
    珍爱生命远离 windows
    Osk
        7
    Osk  
       2017-03-01 22:37:31 +08:00
    干点见不得人的见怪不怪了,我一直觉得敢给自家有恶意行为的代码签名才牛,不怕被秋后算账吗。
    之前遇到过一个劫持主页的恶意程序,在启动后会加载驱动,驱动程序也有数字签名。看来微软强制数字签名也防不了,强制签名就签名呗,谁怕谁!
    icedx
        8
    icedx  
       2017-03-01 22:39:41 +08:00
    下载器啊 不是一直都有这种现象么
    wvidc
        9
    wvidc  
       2017-03-01 22:39:54 +08:00
    百度全家桶
    SourceMan
        10
    SourceMan  
       2017-03-01 22:42:05 +08:00 via iPhone
    远离 windows
    yunji3344
        11
    yunji3344  
       2017-03-01 22:43:07 +08:00
    恶意软件太多,全是全家桶
    lhbc
        12
    lhbc  
       2017-03-01 22:45:30 +08:00   ❤️ 4
    火绒:百度,你家的两个网站中病毒了。
    百度:没有,你看错了。
    火绒:真的,你看,这病毒是这样的。
    百度:你真多事。
    cnwtex
        13
    cnwtex  
       2017-03-02 00:36:36 +08:00
    哈哈哈, hao123 说:劫持起来,连自己家钱都捞(劫持百度联盟)。
    vmebeh
        14
    vmebeh  
       2017-03-02 00:49:40 +08:00 via iPhone
    百毒:哼,这么多年才找到一个毒有什么好吹的
    roist
        15
    roist  
       2017-03-02 01:07:14 +08:00
    其实看来看去,这个东西做的就是各家运营商天天正大光明在做的那些事,特别是移动的宽带,至今记忆犹新,彼时用它的宽带访问购物网站会强制跳转 3 次
    scnace
        16
    scnace  
       2017-03-02 02:11:12 +08:00 via Android
    真搞不懂那些不去官方站下载的……
    nanpuyue
        17
    nanpuyue  
       2017-03-02 07:19:37 +08:00 via iPhone
    @scnace 百度搜索,一般下载站在最前面,官网不知道在哪里。
    实际上很多时候普通用户找不到官网。
    Athrob
        18
    Athrob  
       2017-03-02 07:31:57 +08:00 via iPhone
    被 hao123 劫持过,而且估计当时那个驱动有 bug 。给我弄蓝屏了,显示的那个驱动文件名我才知道电脑里有这个东西。
    好像是 hao123protect.sys
    jasontse
        19
    jasontse  
       2017-03-02 07:50:52 +08:00 via Android   ❤️ 2
    我疯起来连自己都劫持
    murmur
        20
    murmur  
       2017-03-02 07:53:32 +08:00
    包含百度签名这个怎么洗啊
    hustfox
        21
    hustfox  
       2017-03-02 08:28:58 +08:00
    所以下载东西都是用 Google 搜索官网,然后官网下
    Famio
        22
    Famio  
       2017-03-02 09:14:37 +08:00
    百度搜索->傻逼玩意儿
    百度钱包->傻逼玩意儿
    百度外卖->还可以
    百度云引擎->少有的良心

    哎,又爱又恨
    whale
        23
    whale  
       2017-03-02 09:24:08 +08:00
    还有 rj.baidu.com ,一般百度搜索软件下载,第一条就是这,还直接给你下载按钮;
    不明所以的同学当然就怎么省事怎么来了,然后就中招了。

    要是在安装界面提醒下,加个安装选项,咱没去掉也就认了,毒就毒在瞒着用户偷偷干!
    zhs227
        24
    zhs227  
       2017-03-02 09:33:05 +08:00
    相关部门对于第一拨做恶的视而不见,没想到第二拨的青出于蓝。
    tjxiter
        25
    tjxiter  
       2017-03-02 09:43:52 +08:00
    有时搜国内的东西会用百度搜索。

    至于百度外卖,糯米 等其他所有玩意,一律不用。
    Hardrain
        26
    Hardrain  
       2017-03-02 09:52:04 +08:00
    所以 用户下载了程序或安装包都不查看数字签名么
    运行一个程序弹出 UAC 提示 如果发布者是百度或者“未知发布者”还点 是 继续运行?

    不过也不足为奇 记得 Vista 刚普及那时候网上大把的关闭 UAC 的教程.
    Showfom
        27
    Showfom  
       2017-03-02 10:36:22 +08:00 via iPhone
    所以我用 surge 已经屏蔽了 baidu.com
    Jasmine2016
        28
    Jasmine2016  
       2017-03-02 11:24:03 +08:00
    下载软件难道首先想到的不应该是官网?
    artandlol
        29
    artandlol  
       2017-03-02 11:39:57 +08:00
    @Athrob
    以前也中过,一直以为 360 的锅。。
    clopzon
        30
    clopzon  
       2017-03-02 13:04:31 +08:00
    百度:“已通过百度安全认证,请放心使用!”
    istark
        31
    istark  
       2017-03-02 14:18:18 +08:00
    刚给火绒捐款了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3097 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 13:42 · PVG 21:42 · LAX 05:42 · JFK 08:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.