2
| 本文作者: 李勤 | 2017-03-03 13:03 |
最近,第三方安全機構火絨安全實驗室發布了一份報告,稱通過截獲、分析、追蹤并驗證,當用戶從百度旗下的 http://www.skycn.net/ 和 http://soft.hao123.com/ 這兩個網站下載任何軟件時,都會被植入惡意代碼。3月3日上午,雷鋒網發現,百度方面通過“hao123 ”新浪微博官微發布了一則關于此事的說明,表明“被報道的情況真實存在”,對受到影響的用戶致歉,并通報了詳細原因。
火絨的這份報告分析,該惡意代碼進入電腦后,會通過加載驅動等各種手段防止被卸載,進而長期潛伏,并隨時可以被“云端”遠程操控,用來劫持導航站、電商網站、廣告聯盟等各種流量。
火絨實驗室近期接到數名電腦瀏覽器被劫持的用戶求助,在分析被感染電腦時,提取到多個和流量劫持相關的可疑文件:HSoftDoloEx.exe 、bime.dll 、MsVwmlbkgn.sys、LcScience.sys、WaNdFilter.sys,這些可疑文件均包含百度簽名。
百度方面調查后稱:1.上述網址提供的hao123軟件下載器,系第三方外包團隊開發,利用網絡黑產,從百度聯盟中分成;2.接到舉報后,已經立馬調查并清理了相關惡意代碼,并將查殺信息同步提供給了騰訊、360、綠盟等廠商,用戶在3月4日后可從hao123下載使用;3.已就此事向公安機關報案,將協助監管部門后續跟進;4.百度承諾加強監管機制,杜絕該類事件再發生。
“火絨安全”則在3月1日就發布了對此事的進一步觀點:
昨日(編輯注:2月28日)火絨發布安全報告《百度旗下網站暗藏惡意代碼……》之后,百度相關部門迅速行動,數小時內即清除了兩個下載站中的相關惡意代碼。
根據火絨實驗室今日的檢測、驗證,相關惡意代碼已經全部清除,廣大用戶可以放心使用。
【火絨安全公號截圖】
雷鋒網了解到,火絨安全聯合創始人馬剛與周軍第一時間轉發了該消息,并作出了評論。
馬剛:知錯就改,善莫大焉。百度這次對自己挺狠的,除了清除惡意代碼外,還拿掉了惡意代碼的載體——目前各軟件站普遍使用,并被廣大用戶普遍厭惡的下載器。期待百度正式宣布,旗下軟件站以后不再使用下載器,率先做一個最干凈的軟件站,推動業界自省,革除行業積弊。
周軍:百度這改正錯誤的態度和效率還是很高的嘛。話說百度這次改的挺徹底,連下載器都一并去掉了。仿佛又回到了那個不用為下載膽戰心驚的年代了~挺好挺好。
【馬剛和周軍的評論截圖,雷鋒網已獲得兩人授權】
以下是百度方面聲明的詳細信息:
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
