百度旗下網站藏惡意代碼被曝光 陸奇是否愿意背鍋

就在今天下午，剛剛由國內知名安全實驗室——火絨發布的一份詳盡報告顯示：百度旗下的http://www.skycn.net/和 http://soft.hao123.com/兩個網站，經核實用戶在下載任何軟件時，都會被植入惡意代碼。

火絨安全實驗室提示公眾：該惡意代碼進入電腦后，會通過加載驅動等各種手段防止被卸載，進而長期潛伏，并隨時可以被“云端”遠程操控，用來劫持導航站、電商網站、廣告聯盟等各種流量。

懂懂筆記檢索資料，發現上述兩個網站都是百度公司十幾年前就完成收購的。其中2004 年 08 月，百度收購好 123 網址之家；2006年5月，百度以3000萬元人民幣的價格完成了對天空軟件的最終收購。

可以說，目前新上任的百度董事會副主席陸奇，除了要面對前不久百度公司不盡人意的新一季財報，還要面對過去百度公司旗下這些資產或者說業務遺留的大問題：百度要發力人工智能，以人工智能更好的為用戶服務的理念，如何對應旗下這兩個網站，在過去多年來對用戶所做的“惡意”的智能？

針對百度旗下網站被曝光事件，懂懂筆記第一時間聯絡了火絨聯合創始人馬剛，他對此表示：

首先：誘導、欺騙、劫持流量是當今國內互聯網的普遍現象，但是這么惡劣的行為，一般是病毒團伙、流氓軟件公司才會做，大公司往往比較狡猾，不會直接做到“惡意代碼”這個級別。

其次，這種行為應該不是在收購前的事情，因為那時候完全不是現在的行業狀況。

這種行為等于長期劫持用戶電腦，替換修改用戶的瀏覽器、首頁等，干擾用戶正常使用電腦，還有就是，很可能出現跟其他軟件做攻防，導致電腦運行故障等情況。

最后，他提醒公眾注意自身信息安全。火絨日常的安全報告平均每個月發布一期，之前也揭露過數家商業公司制造病毒和流氓軟件。普通用戶總要上下載站下載軟件的，沒有辦法預防。行業的發展只能是安全廠商盯緊這種事件，真實、及時地攔截、查殺并通報這些安全威脅。

注：火絨安全實驗室發布的部分原文如下，因報告過長，更多內容請登陸火絨安全實驗室網站查閱。

一、 概述

經火絨安全實驗室截獲、分析、追蹤并驗證，當用戶從百度旗下的http://www.skycn.net/和 http://soft.hao123.com/這兩個網站下載任何軟件時，都會被植入惡意代碼。該惡意代碼進入電腦后，會通過加載驅動等各種手段防止被卸載，進而長期潛伏，并隨時可以被“云端”遠程操控，用來劫持導航站、電商網站、廣告聯盟等各種流量。

火絨實驗室近期接到數名電腦瀏覽器被劫持的用戶求助，在分析被感染電腦時，提取到多個和流量劫持相關的可疑文件：HSoftDoloEx.exe 、bime.dll 、MsVwmlbkgn.sys、LcScience.sys、WaNdFilter.sys，這些可疑文件均包含百度簽名。

這些包含惡意代碼的可疑文件，被定位到一個名叫nvMultitask.exe的釋放器上，當用戶在http://www.skycn.net/和http://soft.hao123.com/這兩個下載站下載任何軟件時，都會被捆綁下載該釋放器，進而向用戶電腦植入這些可疑文件。需要強調的是，下載器運行后會立即在后臺靜默釋放和執行釋放器nvMultitask.exe，植入惡意代碼，即使用戶不做任何操作直接關閉下載器，惡意代碼也會被植入。

根據分析和溯源，最遲到2016年9月，這些惡意代碼即被制作完成。而操縱流量劫持的“遠程開關”于近期被開啟，被感染的電腦會被按照區域和時段等條件，或者是隨機地被“選擇”出來，進行流量劫持——安全業界稱之為“云控劫持”。

圖 1、下載器向用戶計算機植入惡意代碼

被植入的惡意代碼沒有正常的用戶卸載功能，也沒有常規啟動項，電腦每次開機時都會啟動和更新惡意代碼，惡意代碼接收C&C服務器指令，行為受云端控制，并且會通過加載驅動，保護相關的注冊表和文件不被刪除。

因此，這些植入惡意代碼的用戶電腦成為長期被遠程控制的“肉雞”。

該惡意代碼被遠程啟動后，會劫持各種互聯網流量，用戶的瀏覽器、首頁、導航站都會被劫持，將流量輸送給hao123導航站。同時，還會篡改電商網站、網站聯盟廣告等鏈接，用以獲取這些網站的流量收入分成（詳情在本報告第二章）。

綜上所述，該惡意代碼本身以及通過下載器植入用戶電腦的行為，同時符合安全行業通行的若干個惡意代碼定義標準，因此，火絨將這一惡意代碼家族命名為“Rogue/NetReaper”（中文名：流量收割者）。升級到“火絨安全軟件”最新版本，即可全面查殺、清除該類惡意代碼。