(騰訊電腦管家對(duì)利用UXSS漏洞的惡意網(wǎng)址實(shí)施有效攔截)
騰訊電腦管家安全專家介紹,該漏洞會(huì)被黑客利用并避開瀏覽器的同源策略,竊取用戶COOKIE和賬戶等隱私信息,社交、郵箱等所有網(wǎng)站均受威脅,危害極大。
安全專家建議,由于年關(guān)將近,網(wǎng)購也已經(jīng)進(jìn)入高峰期,瀏覽的網(wǎng)頁及購買支付時(shí)輸入的賬號(hào)等非常隱私的個(gè)人信息更容易遭到“襲擊”。提醒廣大電腦用戶,在期待年終獎(jiǎng)及放長假的好心情的同時(shí),一定要注意用網(wǎng)安全,切不可掉與輕心。電腦千萬不要“裸奔”,使用安全軟件更可添一份安心。廣大用戶可下載騰訊電腦管家,實(shí)時(shí)對(duì)此漏洞的攻擊進(jìn)行有效防御,有力保障用網(wǎng)安全。
近日有卡飯網(wǎng)友爆料,稱在下載某款程序后,瀏覽器首頁被篡改,并且無法修改。經(jīng)卡飯網(wǎng)友對(duì)改程序深入分析后發(fā)現(xiàn),主頁被鎖居然是因?yàn)橛辛髅ゾW(wǎng)站利用了騰訊電腦管家的鎖主頁功能。以下為論壇原文:
昨天群里有人說起主頁被木馬鎖了,怎么改都改不回來。問了下,是裝了“神器青蛙PC版”被搞的。要來下載地址自己安裝分析了下,元兇竟然是騰訊管家。。它的主頁鎖定功能可以通過安裝參數(shù)任意設(shè)置利用,被流氓網(wǎng)站用來搶主頁。我自己寫了個(gè)腳本驗(yàn)證了下,發(fā)現(xiàn)這是個(gè)比較嚴(yán)重的問題,希望騰訊的官人能夠重視下!
1、中招過程
“神奇青蛙PC版”軟件下載頁面,廣告圖片過于露骨特別處理了下:
找到正確的下載位置:
將這個(gè)壓縮包下載回來后,解壓。我不知道有多少人和我的第一反應(yīng)一樣——下回來之后先setup一下:
如果誰也習(xí)慣性手賤的點(diǎn)了setup.exe,那么你就悲劇了:
那位中招小伙伴的遭遇在我的測(cè)試機(jī)器上重演:主頁變?yōu)閣ww.987.com/?gj的導(dǎo)航網(wǎng)站。再看電腦,同時(shí)也裝上了騰訊電腦管家,“瀏覽器保護(hù)”功能的設(shè)置自動(dòng)設(shè)定為這個(gè)導(dǎo)航網(wǎng)站。
2、 深入分析
這個(gè)神奇青蛙和騰訊管家究竟有啥關(guān)系呢?右鍵查看setup.exe的文件屬性,結(jié)果竟然是…
原來,所謂的神奇青蛙,其實(shí)就是騰訊管家的安裝包,它在安裝時(shí)有個(gè)命令行頗有意思,已經(jīng)設(shè)定了DefaultIE參數(shù)。
我專門把完整命令行復(fù)制出來給大家鑒賞:
/S ##supply=70540&qqpcmgr=0&recommand=3&DefaultIE="http://www.987.com/?gj"
“/S”想必就是silent(靜默)的意思了,而后面的supply顯然是推廣ID,qqpcmgr和recommand兩個(gè)參數(shù)雖然字面意思很明顯,但數(shù)值的含義并不清楚,也不必太糾結(jié)。最后的DefaultIE是個(gè)URL,看字面,難道IE默認(rèn)主頁?
安裝完成后,最終結(jié)果顯而易見,主頁就這么被鎖定了。
而當(dāng)我試圖對(duì)主頁進(jìn)行修改的時(shí)候,騰訊電腦管家非常敬業(yè)的阻止了我的操作:
那么問題來了,運(yùn)行安裝包時(shí)通過命令行參數(shù)指定要修改并鎖定主頁,這個(gè)舉措合乎規(guī)矩嗎?
3、隨意利用
完全不需要用戶手動(dòng)設(shè)置,僅憑安裝時(shí)的一個(gè)參數(shù),就決定了安裝后要修改并鎖定的網(wǎng)址是什么。這種做法看似簡單易行,但對(duì)于一款具有很高底層權(quán)限的安全軟件來說,似乎有一些草率。
那是不是給出任意的參數(shù),安裝包都會(huì)乖乖執(zhí)行呢?我特意寫了個(gè)腳本自己驗(yàn)證了一下,利用騰訊管家把主頁鎖定360.com。驗(yàn)證時(shí)還特意選擇了從騰訊官網(wǎng)下載的最新安裝包,結(jié)果大功告成。
測(cè)試腳本如下:
腳本運(yùn)行之后,騰訊電腦管家果然把360.com鎖定成了系統(tǒng)首頁,無限和諧~
也就是說,修改參數(shù)后,騰訊電腦管家依舊會(huì)將私自設(shè)定的鏈接鎖定為首頁。這種簡單易行的手法,不要說高端黑客,我等小菜也能輕松實(shí)現(xiàn)。作為一款“安全軟件”,騰訊電腦管家未免太大意了。
鎖定主頁本來是為了防流氓的,現(xiàn)在看來,卻成了耍流氓的利器。希望騰訊官人務(wù)必重視,千萬被給流氓網(wǎng)站當(dāng)了幫兇。
身經(jīng)歷,近期,本來很流暢的電腦,關(guān)機(jī)時(shí),莫名提示系統(tǒng)最新數(shù)據(jù)更新,請(qǐng)稍候關(guān)機(jī)。自動(dòng)更新后,重啟電腦后,電腦運(yùn)行聲音特別巨大,還以為電腦風(fēng)扇壞了,并且電腦打不開網(wǎng)頁,偶爾打開也是慢的如蝸牛,軟件界面掛馬,搞的我很是惱火,整整一天什么事情也沒有做成,特別沮喪。。。聯(lián)系電信公司查原因,回復(fù)說信道沒有問題,我自己殺毒軟件殺了一遍又一遍,還是解決不了,仔細(xì)觀察殺毒軟件顯示結(jié)果有rootkis,自己百度了一下rootkit【從某種意義上說這位不速之客就是Rootkit——持久并毫無察覺地駐留在目標(biāo)計(jì)算機(jī)中,對(duì)系統(tǒng)進(jìn)行操縱、并通過隱秘渠道收集數(shù)據(jù)的程序。Rootkit的三要素就是:隱藏、操縱、收集數(shù)據(jù)。】,一下子,驚醒夢(mèng)中人,自己電腦中病毒了,而且是新興病毒興風(fēng)作浪,一般殺毒軟件清除不掉,于是自己就重新裝載了電腦程序,結(jié)果電腦又回到了青云流水的爽歪歪感覺,但是心里又害怕電腦重新中毒,于是百度找到以下資訊,敬請(qǐng)廣大網(wǎng)友們,不再想我一樣抓狂,迷茫,憤怒,浪費(fèi)時(shí)間。
4月12日,騰訊御見威脅情報(bào)中心監(jiān)測(cè)發(fā)現(xiàn)50余款用戶量在千萬級(jí)別的電腦軟件遭遇大規(guī)模網(wǎng)頁掛馬攻擊。攻擊者通過某廣告聯(lián)盟系統(tǒng)發(fā)布帶毒頁面,帶毒頁面被內(nèi)嵌在50余款常用軟件中,結(jié)果釀成一場(chǎng)“412掛馬風(fēng)暴”。
電腦管家全網(wǎng)版本均可支持對(duì)該病毒的攔截與查殺。鑒于此次事件的嚴(yán)重性,騰訊電腦管家已第一時(shí)間在微博披露,同時(shí)也已通過多方渠道向廣大用戶預(yù)警。截至4月12日晚22點(diǎn),已攔截超過20萬次病毒攻擊。
電腦管家推出監(jiān)測(cè)工具
針對(duì)412掛馬風(fēng)暴,電腦管家推出了安全檢測(cè)工具,該工具可獨(dú)立運(yùn)行,幫助用戶掃描檢測(cè),并解決該問題,防護(hù)電腦安全。
此波掛馬的作惡路徑
騰訊安全專家指出,這是一次影響廣泛的網(wǎng)絡(luò)攻擊,暴露出互聯(lián)網(wǎng)軟件分發(fā)系統(tǒng)存在重大網(wǎng)絡(luò)安全隱患。受影響的常用軟件超過50款,其中不乏用戶量在千萬級(jí)別的軟件。
當(dāng)用戶打開這些軟件時(shí),這些軟件內(nèi)嵌的新聞廣告頁會(huì)下載一個(gè)“2018最火美女直播秀”的廣告,這個(gè)廣告頁事先已植入病毒,最終計(jì)算機(jī)會(huì)訪問到利用CVE-2016-0189漏洞攻擊的網(wǎng)頁。此時(shí),如果該電腦存在CVE-2016-0189安全漏洞,就會(huì)下載功能強(qiáng)大的木馬運(yùn)行。騰訊安全專家指出,這次412掛馬風(fēng)暴,最嚴(yán)重的問題就在于:存在風(fēng)險(xiǎn)的用戶量很大,而且整個(gè)過程看起來和平常使用沒有區(qū)別,用戶打開這些軟件,木馬就進(jìn)來了,如果用戶電腦存在安全漏洞,又沒有殺毒軟件保護(hù)的話,中間沒有任何提示。
掛馬會(huì)有哪些惡性后果
一旦被掛馬,意味著用戶無需任何操作,就會(huì)中毒,即不用點(diǎn)不明鏈接,不用點(diǎn)擊執(zhí)行文件,只要聯(lián)網(wǎng),就會(huì)中毒。目前,騰訊御見威脅情報(bào)中心分析發(fā)現(xiàn),此次掛馬風(fēng)暴下載的木馬有多個(gè)不同版本,目前來看主要有4種惡行:
1、推裝軟件:當(dāng)用戶中毒后,電腦會(huì)突然出現(xiàn)一些未曾安裝的軟件。
2、植入挖礦:這意味著中毒后,你的網(wǎng)絡(luò)帶寬會(huì)被嚴(yán)重占用,出現(xiàn)運(yùn)行卡慢的情況。該木馬利用成千上萬肉雞電腦收集門羅幣牟利。
3、截取在線平臺(tái)交易:這就是一種趁機(jī)搶錢行為,就是當(dāng)用戶在使用購物網(wǎng)站等軟件進(jìn)行交易時(shí),病毒會(huì)劫持交易,將用戶資金轉(zhuǎn)入特定帳戶。
4、遠(yuǎn)控木馬:該木馬會(huì)利用用戶電腦下載其他遠(yuǎn)程控制木馬,以實(shí)現(xiàn)對(duì)中毒電腦的長期控制。
截止4月12日18點(diǎn),騰訊電腦管家已經(jīng)攔截到412掛馬風(fēng)暴導(dǎo)致的20余萬次病毒下載。受害最嚴(yán)重的省份有:山東(16%)、江蘇(10.3%)、廣東(9.3%)、河南(6.4%)、河北(6.4%)、遼寧(5.9%)、安徽(4.6%)。
騰訊安全專家建議
鑒于此次事件影響廣泛,潛在受害用戶龐大,且用戶會(huì)在未進(jìn)行任何操作的情況下中毒。騰訊電腦管家安全專家強(qiáng)烈建議廣大用戶,做好以下三點(diǎn)防范:
一、請(qǐng)及時(shí)安裝微軟IE瀏覽器補(bǔ)丁(或使用電腦管家漏洞修復(fù)安裝補(bǔ)丁)
手動(dòng)方案:升級(jí)瀏覽器到IE11,然后安裝IE補(bǔ)丁:KB3154070 補(bǔ)丁
自動(dòng)方案:使用騰訊電腦管家漏洞修復(fù)功能,修復(fù)IE漏洞。
二、安裝安全軟件,攔截掛馬攻擊
騰訊電腦管家已在第一時(shí)間攔截此次掛馬攻擊,安裝了電腦管家的用戶不用擔(dān)心受到此次攻擊。
三、網(wǎng)絡(luò)管理員請(qǐng)盡快把下列IP加入防火墻攔截列表
如果您是公司或組織的網(wǎng)絡(luò)管理員,請(qǐng)盡快將以下IP加入防火墻列表:
139.224.225.117
107.150.50.34
222.186.3.73