百度承认旗下网站暗藏恶意代码：网址被劫持 骗取流量分成

雷帝网 乐天 3月3日报道

百度今日发布公告，针对《百度旗下网站暗藏恶意代码 劫持用户电脑疯狂“收割”流量》的报道做出回应，证实旗下网站暗藏恶意代码，已调查清除，并向用户道歉。

百度称，在第一时间进行了紧急排查，遗憾的发现，相关报道的情况真实存在。

“被影响的电脑会出现浏览器、网址导航被劫持等使用情况，在伤害用户体验的同时，还篡改、伪装网站联盟链接，骗取百度流量收入分成，对百度造成品牌和经济损失。”

在具体说明方面，百度方面调查后称：

1）上述网址提供的hao123软件下载器，系第三方外包团队开发，利用网络黑产，从百度联盟中分成；

2）接到举报后，已经立马调查并清理了相关恶意代码，并将查杀信息同步提供给了腾讯、360、绿盟等厂商，用户在3月4日后可从hao123下载使用；

3）已就此事向公安机关报案，将协助监管部门后续跟进；

4）百度承诺加强监管机制，杜绝该类事件再发生。

此前，第三方安全机构火绒安全实验室爆料称，用户在百度旗下两个网站下载任何软件时，会被植入恶意代码。

根据介绍，当用户从百度旗下的http://www.skycn.net/和 http://soft.hao123.com/这两个网站下载任何软件时，都会被植入恶意代码。

该恶意代码进入电脑后，会通过加载驱动等各种手段防止被卸载，进而长期潜伏，并随时可以被“云端”远程操控，用来劫持导航站、电商网站、广告联盟等各种流量。

在分析被感染电脑时，提取到多个和流量劫持相关的可疑文件：HSoftDoloEx.exe 、bime.dll 、MsVwmlbkgn.sys、LcScience.sys、WaNdFilter.sys，这些可疑文件均包含百度签名。

火绒安全实验室称，这些包含恶意代码的可疑文件，被定位到一个名叫nvMultitask.exe的释放器上，当用户在http://www.skycn.net/和 http://soft.hao123.com/这两个下载站下载任何软件时，都会被捆绑下载该释放器，进而向用户电脑植入这些可疑文件。

需要强调的是，下载器运行后会立即在后台静默释放和执行释放器nvMultitask.exe，植入恶意代码，即使用户不做任何操作直接关闭下载器，恶意代码也会被植入。

根据分析和溯源，最迟到2016年9月，这些恶意代码即被制作完成。而操纵流量劫持的“远程开关”于近期被开启，被感染的电脑会被按照区域和时段等条件，或者是随机地被“选择”出来，进行流量劫持——安全业界称之为“云控劫持”。

被植入的恶意代码没有正常的用户卸载功能，也没有常规启动项，电脑每次开机时都会启动和更新恶意代码，恶意代码接收C&C服务器指令，行为受云端控制，并且会通过加载驱动，保护相关的注册表和文件不被删除。

因此，这些植入恶意代码的用户电脑成为长期被远程控制的“肉鸡”。

该恶意代码被远程启动后，会劫持各种互联网流量，用户的浏览器、首页、导航站都会被劫持，将流量输送给hao123导航站。同时，还会篡改电商网站、网站联盟广告等链接，用以获取这些网站的流量收入分成。

看到百度的致歉声明后，火绒安全实验室负责人马刚今日说，谢谢百度的勇敢和气度，哎，真好，这回没人说我们碰瓷了。