日前火绒安全团队发现“ADSafe净网軟件大师”、“清网卫士”、 “广告过滤大师”等多款知名软件暗藏恶意代码,偷偷劫持用户流量这些软件出自同一公司,功能类似主要是屏蔽网页广告。根据技术分析三款软件都会通过替换计费名(不同网站和上游分成的标识)的方式来劫持流量,牟取暴利其劫歭网站数量为近年最多,已达50余家包括国内多家知名导航站、电商以及在线消费交易平台等。更可怕的是“ADSafe”劫持规则可随时通过远程操作被修改,不排除其将来用来执行其他恶意行为的可能性存在极大安全隐患。
火绒安全团队发现“ADSafe”官网的软件版本虽然停留在/info//info//),如下图所示:
值得一提的是在我们查看清网卫士页面源码的时候,发现在被注释的网页代码中竟然出现了ADSafe(ADSafe)的官网微博地址和用戶QQ群如下图所示:
被注释的清网卫士官方微博地址(/),实际最终会跳转到ADSafe的官方微博
被注释的QQ群号实际为ADSafe用户群,如下图所示:
除此之外被注释的清网卫士微信公众号 “adoffjwds“,公众号名称后半部分”jwds“为净网软件大师首字母根据上述几点,我们可以初步推断清网衛士可能和ADSafe存在着某种联系。
/)版本进行了分析 我们发现,官网下载的ADSafe安装包不会释放网络过滤驱动和劫持策略由于官网版本安装后網络过滤框架不完整,所以不会进行恶意流量劫持
如上文所述,清网卫士与为例由于跳转过程较快,我们断网截取到了劫持链接(hxxps:///c?w=***&t=/)
最终跳转页面,如下图所示:
流量劫持策略不但会被/pc_v4/rulefile/source_”和“/?tn=”链接后面之后也是通过插入刷新标签的方式进行跳转。用来劫持的推广號共8个如下图所示:
用来劫持Hao123的推广号数据
劫持百度搜索的劫持策略,如下图所示:
劫持百度搜索的数据在/和hxxp:///且“注册信息
官网页面鈈但完全相同,且都带有多家安全软件的安全认证如下图所示:
广告过滤大师劫持策略目录与ADSafe、清网卫士对比,如下图所示:
不但目录Φ文件名基本一致而且用于流量劫持的数据SHA1也基本一致(只有0025.dat的SHA不同),三款软件也都同时包含有相同的功能模块所以我们可以判断,三款软件同属于一家软件制作厂商SHA1对比,如下图所示:
流量劫持数据文件SHA1对比?
文中涉及样本SHA256:
估计在搬几个帖子就停止了不想发了!本人在电脑上测试过了,确实可用!BY:小俊作品
进一步优化软件性能响应净化引擎. 达到最优体验
硬改去右下角关闭浏览器提醒窗口(绿化前请退出ie或其他浏览器) 去菜单 感谢名单 选项 去設置“我要参与ADSafe3用户体验计划、保持最新版本”选项 禁止主目录下载更新文件及目录
如不稳定,请用3.5版本 |