-
-
[原创]知名软件ADSafe暗藏恶意代码 从众多网站劫持流量
-
发表于: 2018-3-11 22:08
-
一、 概述
日前,火绒安全团队发现“ADSafe净网大师”、“清网卫士”、 “广告过滤大师”等多款知名软件暗藏恶意代码,偷偷劫持用户流量。这些软件出自同一公司,功能类似,主要是屏蔽网页广告。根据技术分析,三款软件都会通过替换计费名(不同网站和上游分成的标识)的方式来劫持流量,牟取暴利。其劫持网站数量为近年最多,已达50余家,包括国内多家知名导航站、电商以及在线消费交易平台等。更可怕的是,“ADSafe”劫持规则可随时通过远程操作被修改,不排除其将来用来执行其他恶意行为的可能性,存在极大安全隐患。
图1
火绒安全团队发现,“ADSafe”官网的软件版本虽然停留在v4.0.610,但其论坛、下载站中却发布了v5.3版。根据技术分析,“清网卫士”、“广告过滤大师”和v5.3版“ADSafe”的功能、广告过滤规则,以及恶意代码都完全一样,可以认定,“清网卫士”和“广告过滤大师”软件其实就是"ADSafe"的最新版本,都会通过替换计费名(不同网站和上游分成的标识)的方式来劫持流量,牟取暴利。
目前,"ADSafe"(v5.3及以上版本)和“清网卫士”等软件正在通过国内各大下载站、官网以及官方论坛大肆传播。用户电脑中只要装了上述软件,网站中(如 图2)产生的流量都会被劫持。
图2
如上图所示,此次涉及到的受劫持网站数量是我们近年来发现最多的一次,共有50余家。不仅包括国内的导航站、电商(淘宝、京东、华为商城、小米商城、1药网等);还包括国内一些在线消费交易平台(新东方、悟空租车);国外的品牌购物站(Coach、Hanes、Clarins等)。
另外,现在劫持规则还在持续更新,不排除将来可能用于其他攻击。例如火绒之前报道过的病毒利用JavaScript进行挖矿(21cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3S2#2L8%4u0G2L8X3N6Q4x3X3g2U0L8W2)9J5c8X3W2F1k6X3!0Q4x3V1j5I4y4e0p5@1y4o6x3&6y4K6R3%4z5e0m8Q4x3X3g2Z5N6r3#2D9i4@1g2r3i4@1u0o6i4K6R3&6i4@1f1#2i4K6V1J5i4K6S2o6i4@1f1%4i4@1q4m8i4K6R3K6i4@1f1#2i4K6S2r3i4K6V1$3i4@1f1@1i4@1t1^5i4@1q4m8i4@1f1@1i4@1u0m8i4@1u0m8i4@1f1@1i4@1u0r3i4@1p5I4i4@1f1$3i4K6R3I4i4@1q4r3i4@1g2r3i4@1u0o6i4K6R3^5N6%4N6%4i4K6u0W2K9s2g2G2M7X3!0F1k6#2)9J5k6h3y4F1i4K6u0r3K9h3&6X3L8#2)9J5c8U0p5#2x3e0R3K6x3K6R3%4x3o6M7I4x3o6k6Q4x3X3g2Z5N6r3#2D9i4@1g2r3i4@1u0o6i4K6R3&6i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1$3i4@1p5I4i4K6R3^5i4@1f1@1i4@1u0q4i4K6S2n7i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1#2i4@1u0n7i4@1u0m8i4@1f1^5i4@1q4q4i4@1q4q4i4@1f1#2i4@1t1&6i4@1u0r3i4@1f1#2i4@1p5@1i4@1p5%4i4@1f1%4i4K6V1@1i4@1p5^5i4@1f1$3i4K6R3^5i4@1t1%4i4@1f1$3i4@1t1K6i4@1p5^5i4@1f1$3i4K6R3@1i4K6S2r3i4@1f1&6i4K6V1^5i4@1t1J5i4@1f1^5i4K6S2o6i4K6R3K6i4@1f1K6i4K6R3H3i4K6R3J5i4@1f1J5i4K6R3H3i4K6W2o6i4@1f1%4i4K6R3I4i4@1q4n7i4@1f1%4i4@1u0n7i4K6V1J5i4@1f1#2i4@1q4q4i4K6R3&6i4@1f1#2i4K6R3#2i4@1p5^5i4@1f1^5i4@1u0p5i4@1q4r3i4@1f1@1i4@1u0n7i4@1t1$3i4@1f1J5i4K6R3H3i4K6W2p5i4@1f1$3i4K6W2o6i4K6R3H3i4@1f1$3i4K6V1$3i4@1t1H3i4@1f1%4i4K6R3&6i4K6R3^5i4@1f1#2i4K6S2r3i4@1q4r3i4@1f1@1i4@1u0n7i4@1p5#2i4@1f1$3i4K6S2n7i4@1p5$3i4@1f1$3i4K6R3^5i4@1q4m8i4@1f1J5i4K6R3H3i4K6W2o6b7f1c8e0j5h3k6W2i4@1f1J5i4K6R3H3i4K6W2p5i4@1f1#2i4K6V1J5i4K6S2o6i4@1f1J5i4K6R3H3i4K6W2o6i4@1f1$3i4@1t1^5i4K6R3#2i4@1f1%4i4@1u0p5i4K6V1I4i4@1f1#2i4K6S2p5i4@1q4n7i4@1f1#2i4@1p5K6i4@1q4n7i4@1f1J5i4K6R3H3i4K6W2p5i4@1f1K6i4K6R3H3i4K6R3J5i4K6t1$3L8X3u0K6M7q4)9K6b7R3`.`.
近几年,互联网公司间的流量争夺赛愈演愈烈,并成为其主要收入来源。然而“流量”和“侵害用户”往往是相伴而生,这也是“火绒关停流量业务”的初衷。软件提供服务,用户购买服务/产品,才是健康的商业模式,而不是打着“免费”的旗子,背地里却把用户电脑当作“战场”,当成软件厂商的赚钱工具。归根结底,只有规范的服务、优质的产品,才是企业的制胜法宝,是企业长久发展的经营之道。
二、 病毒来源
火绒近期在多个用户现场发现,名为清网卫士的广告过滤软件会恶意劫持流量。当用户访问搜索引擎、网址导航站、电商网站时,该软件会通过HTTP代理的方式将访问网址劫持为带有推广号的目标网址链接,恶意流量劫持涉及国内外众多线上消费平台及导航搜索站点,国内电商平台包括:淘宝、京东、苏宁等,国外线上消费平台则包括:Coach、Hanes、Nike等多个知名品牌。被劫持的网址列表,如下图所示:
被劫持网址
随后,我们找到了清网卫士官网(hxxp://bfcK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3q4V1i4K6u0V1L8$3k6X3i4K6u0W2j5$3!0E0i4K6u0r3i4@1g2r3i4@1u0o6i4K6R3&6i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1#2i4@1p5$3i4K6R3J5i4@1f1@1i4@1t1^5i4K6S2n7i4@1f1#2i4K6W2n7i4@1u0q4i4@1f1$3i4K6R3&6i4K6R3H3i4@1f1%4i4@1p5@1i4@1u0m8i4@1g2r3i4@1u0o6i4K6W2m8
清网卫士官网
值得一提的是,在我们查看清网卫士页面源码的时候,发现在被注释的网页代码中竟然出现了ADSafe(ADSafe)的官网微博地址和用户QQ群。如下图所示:
清网卫士网页源码
被注释的清网卫士官方微博地址(57dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3g2Q4x3X3g2%4k6h3W2T1L8#2)9J5k6h3y4G2L8g2)9J5c8U0x3H3y4U0j5K6y4o6x3K6y4o6N6Q4c8f1k6Q4b7V1y4Q4z5o6W2Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4b7f1g2Q4z5f1g2Q4c8e0W2Q4z5e0W2Q4z5o6g2Q4c8e0k6Q4z5f1y4Q4z5o6m8Q4c8e0N6Q4b7V1u0Q4z5o6S2Q4c8e0c8Q4b7V1y4Q4z5f1q4Q4c8e0S2Q4b7U0N6Q4b7U0y4Q4c8e0S2Q4b7V1c8Q4b7f1y4Q4c8e0g2Q4z5o6S2Q4b7U0m8m8c8q4y4S2k6X3g2Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0g2Q4b7f1g2Q4z5e0S2Q4c8e0k6Q4z5e0k6Q4b7U0W2Q4c8e0g2Q4b7V1g2Q4b7f1g2Q4c8e0g2Q4z5p5c8Q4z5f1q4Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4b7e0k6Q4z5o6u0Q4c8e0c8Q4b7U0S2Q4z5p5u0Q4c8e0g2Q4z5f1u0Q4b7V1g2Q4c8e0k6Q4z5o6W2Q4z5o6m8Q4c8e0N6Q4b7e0c8Q4b7V1q4Q4c8f1k6Q4b7V1y4Q4z5f1p5`.
清网卫士微博地址
被注释的QQ群号实际为ADSafe用户群,如下图所示:
清网卫士QQ群
除此之外,被注释的清网卫士微信公众号 “adoffjwds“,公众号名称后半部分”jwds“为净网大师首字母。根据上述几点,我们可以初步推断,清网卫士可能和ADSafe存在着某种联系。
在我们对ADSafe 5.3.117.9800版本(安装包来源为某下载站)进行分析后发现,该版本的ADSafe也具有相同的劫持行为。除此之外,该版本ADSafe和清网卫士的功能组件中大部分功能代码基本相同,甚至有部分用于流量劫持的数据文件SHA1也完全相同。以HTTP代理主模块为例进行代码比对,ADSafe.exe(ADSafe)和Adoff.exe(清网卫士)代码对比,如下图所示:
代码对比
用于流量劫持的数据文件SHA1对比,如下图所示:
数据文件SHA1对比
该版本ADSafe安装包数字签名有效,名称为“Shanghai Damo Network Technology Co. Ltd.“,即上海大摩网络科技有限公司。如下图所示:
ADSafe 5.3.117.9800版本安装包文件属性
ADSafe签名信息
综上,我们可以完全断定,清网卫士和ADSafe5.3.117.9800版本都属于同一个软件制作商,且带有相同的流量劫持逻辑。
随后,我们也对ADSafe官网(hxxp://8bdK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3q4V1i4K6u0V1M7$3q4X3k6g2)9J5k6h3y4G2L8g2)9J5c8W2!0q4c8W2!0n7b7#2)9^5z5g2!0q4y4#2)9^5z5g2)9^5z5q4!0q4y4W2)9&6b7#2!0m8b7#2!0q4z5q4!0n7c8W2)9&6b7W2!0q4z5q4!0m8x3g2)9^5b7#2!0q4y4q4!0n7b7g2)9^5y4W2!0q4y4g2)9^5z5q4)9^5y4W2!0q4y4W2)9&6c8g2)9&6x3q4!0q4x3#2)9^5x3q4)9^5x3R3`.`. 我们发现,官网下载的ADSafe安装包不会释放网络过滤驱动和劫持策略,由于官网版本安装后网络过滤框架不完整,所以不会进行恶意流量劫持。
三、 详细分析
如上文所述,清网卫士与ADSafe5.3.117.9800版本劫持逻辑基本相同,所以我们下文中针对该版本ADSafe进行详细分析。病毒运行流程,如下图所示:
病毒运行流程
如上图所示,由于ADSafe使用HTTP代理的方式进行劫持,所以一旦劫持规则生效,用户电脑中所产生的所有HTTP请求都会被ADSafe进行劫持,截至到我们发布报告之前,ADSafe劫持的网址多达54家,且受影响网址还在不断进行更新。
网络过滤驱动
当本地产生HTTP请求时,网络过滤驱动会将过滤到的HTTP请求转发给本地的HTTP代理(ADSafe.exe)。网络过滤驱动中的转发逻辑,如下图所示:
转发逻辑代码
HTTP代理
HTTP代理进程(ADSafe.exe)主要负责处理网络过滤驱动转发来的HTTP请求,根据不同的规则可以用于做广告过滤和流量劫持。ADSafe规则分为两个部分,分别在两个不同的目录下。规则目录位置及用途,如下图所示:
规则目录位置及用途
如上图所示,用户订阅规则主要对应ADSafe中的自定义广告过滤规则,主要用于广告过滤、间谍软件过滤等;流量劫持规则中主要包括劫持策略和劫持内容,劫持生效后,可以将原有的HTTP请求替换为预先准备好的劫持内容,达到劫持目的。以访问2e7K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3A6V1i4K6u0W2j5$3!0E0i4@1f1@1i4@1t1^5i4@1u0m8i4@1f1@1i4@1u0q4i4K6S2n7i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1%4i4K6V1@1i4@1t1I4i4@1f1@1i4@1u0m8i4K6S2q4i4@1f1^5i4@1t1%4i4@1t1K6i4@1f1^5i4@1u0p5i4@1q4o6i4@1f1^5i4@1u0r3i4K6R3%4i4@1f1%4i4@1p5^5i4K6S2n7i4@1f1^5i4@1u0q4i4K6R3K6i4@1f1#2i4@1u0r3i4@1q4n7i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1$3i4K6R3^5i4K6V1I4i4@1f1@1i4@1u0n7i4@1q4o6i4@1f1$3i4K6V1$3i4@1q4p5i4@1f1%4i4@1u0p5i4K6V1I4i4@1f1$3i4K6R3^5i4@1q4m8i4@1f1#2i4K6S2r3i4K6V1$3i4@1f1#2i4K6R3^5i4@1t1H3i4@1f1@1i4@1u0m8i4K6R3$3i4@1f1#2i4K6S2m8i4@1q4n7i4@1f1$3i4K6S2o6i4K6R3I4i4@1f1&6i4K6V1K6i4@1u0q4i4@1f1$3i4K6S2q4i4@1p5#2i4@1g2r3i4@1u0o6i4K6R3^5K9s2S2^5M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3i4K6u0W2P5h3W2I4K9h3k6S2i4K6u0W2j5$3!0E0i4K6u0r3j5#2)9K6c8Y4N6Q4x3@1c8Q4x3V1q4Q4x3V1q4Q4x3V1q4Q4x3U0k6S2L8i4m8Q4x3@1u0@1i4K6y4p5K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2B7k6q4)9J5k6h3y4G2L8g2)9J5c8W2!0q4c8W2!0n7b7#2)9^5z5g2!0q4x3#2)9^5x3q4)9^5x3W2!0q4y4g2)9^5b7g2!0m8b7W2!0q4y4W2)9^5b7#2)9^5x3g2!0q4y4W2)9&6y4g2)9^5z5q4!0q4y4W2)9&6c8g2)9&6b7#2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4g2!0m8y4W2)9^5x3W2!0q4y4q4!0n7z5q4)9^5b7W2!0q4y4g2)9&6b7W2!0n7c8g2!0q4y4W2)9^5z5g2)9^5x3q4!0q4y4#2!0m8y4q4!0n7b7g2!0q4c8W2!0n7b7#2)9&6b7b7`.`.
流量劫持
最终跳转页面,如下图所示:
最终劫持地址
流量劫持策略不但会被5.3版本的ADSafe直接释放,还可以进行云控更新,就在我们分析的同时,劫持策略还在不断更新,所以下文所提到的劫持策略均以我们获取到的最后一个版本为准。
ADSafe策略文件中数据均使用AES算法进行加密,加密后数据使用BASE64进行编码。由于所有策略文件解密流程完全相同,下文中不再进行赘述。相关解密逻辑,如下图所示:
解密逻辑相关代码
策略更新功能主要对应ADSafe中的AdsCdn.dll模块,该模块主要负责策略的请求、下载和解密流程。劫持策略更新流程首先会访问C&C服务器地址请求策略配置数据CdnJsonconfig.dat。C&C服务器地址,如下图所示:
C&C服务器地址
请求CdnJsonconfig.dat数据相关代码,如下图所示:
请求CdnJsonconfig.dat数据代码
该文件完成解密后,我们可以得到如下配置:
CdnJsonconfig.dat解密后数据
如上图所示,其中“0002020A”属性中存放的是策略更新配置文件下载地址(hxxp:// filesupload.b0.upaiyun.com/pc_v4/rulefile/source_9800.xml?-70969872),通过HTTP请求我们可以得到如下配置:
策略更新配置
如上图所示,每一组”<RuleFile>”标签对应一个策略或数据文件,其下一级的“<sUrl>”标签中存放的是文件下载地址,下载每个文件至本地后都会对文件的MD5值进行比对,确保文件的完整性。在验证MD5之后,会将规则文件解压至ADSafe安装目录下的res目录中。策略更新相关代码,如下图所示:
策略更新代码
我们前文说到,在ADSafe官网版本(4.0版本)中未包含流量劫持策略,其实是因为低版本AdsCdn.dll动态库中用于请求CdnJsonconfig.dat数据的网址指向的是一个局域网地址(hxxp://192.168.1.77:823/i.ashx),所以不能进行劫持策略的更新。不但如此,官网版本安装包安装后,不会释放网络过滤驱动,这就直接导致官网版本的ADSafe安装后根本不具有任何广告过滤功能。
代理服务进程除了上述操作外,还会通过检测窗口名(OllyDbg等)、修改线程调试属性等方式进行反调试,相关代码如下图所示:
检测调试器
流量劫持策略
在流量劫持策略下发到本地之后,首先会进行解密,之后加载到HTTP代理服务中。为了方便我们下文中对劫持规则的说明,我们首先引用ADSafe过滤语法简表对过滤规则的关键字进行说明。关键字及相关用途如下图所示:
过滤语法简表
流量劫持策略被存放在ADSafe安装目录下的”res\tc.dat”文件中,经过解密我们可以得到劫持策略。部分劫持策略,如下图所示:
劫持策略
如上图所示,劫持规则每条含义大致相同。首先通过正则匹配网址,在网址匹配成功之后,会将“$$”后的HTTP数据包内容进行返回,在返回的数据包中包含带有流量劫持功能的JavaScript脚本。以0025.dat解密后数据包内容为例,如下图所示:
数据包内容
以前文劫持规则为例,劫持生效后当用户访问“dangdang.com”和“suning.com”等网址时,返回数据都会被替换为HTTP数据包0025.dat。数据包文件内容也需要进行解密,解密后我们可以看到JavaScript脚本控制的相关劫持逻辑。
劫持京东等电商网站
首先脚本会根据不同的网址执行不同的劫持逻辑,网址列表如下图所示:
网址劫持规则列表
如上图,url属性中存放的是欲劫持网址,name存放的是劫持调用函数,在该劫持脚本中,每个网址都对应不同的劫持函数。劫持函数调用逻辑,如下图所示:
劫持函数调用
由于劫持网址众多,我们只以较为典型的几种劫持情况进行说明。我们先以劫持京东商城为例,劫持使用的函数为_fun_17。函数逻辑,如下图所示:
用来劫持京东的_fun_17函数
_fun_17函数会从预先准备的劫持数据中解密出一组劫持链接,且每个链接都对应一个劫持概率,劫持概率以比例的形式被依次存放在劫持链接数组后面。解密出的劫持数据,如下图所示:
劫持数据
在获取到上述劫持链接后,会调用ft_r函数在当前页面中插入刷新标签进行跳转。如下图所示:
ft_r函数内容
如上图,每个劫持链接都是通过广告推广平台(如亿起发、星罗、多麦等)链接跳转至最终的京东主页,ADSafe会通过这些广告推广平台进行流量套现。其他网址的劫持也大致相同,下面对其他劫持逻辑进行简单说明。
劫持Hao123导航
针对Hao123的劫持逻辑,如下图所示:
如上图,劫持Hao123所示用的HTTP数据在0021.dat中存放,解密后与0025.dat大致相同,但该文件中只存放又针对Hao123的相关劫持代码。劫持函数,如下图所示:
Hao123劫持函数
上图脚本会从推广号列表中随机选取一个推广号拼接在“2d7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2Z5j5h3)9I4x3U0y4Q4x3X3g2U0L8$3#2Q4x3V1k6Q4x3@1k6@1L8W2)9K6c8q4!0q4x3W2)9^5x3q4)9&6c8q4!0q4z5g2)9&6x3#2!0n7c8g2!0q4y4W2)9^5c8g2!0m8y4g2!0q4y4g2)9&6x3q4)9^5c8g2!0q4z5g2)9&6c8q4!0m8x3W2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4q4!0n7z5g2)9^5b7W2!0q4y4g2)9&6x3q4)9^5c8g2!0q4y4q4!0n7z5g2)9&6c8W2!0q4y4W2)9&6z5q4!0m8c8W2!0q4z5g2)9^5x3q4)9&6b7g2!0q4z5q4!0n7c8W2)9^5y4#2!0q4y4W2)9^5c8W2)9&6x3W2!0q4y4g2)9^5y4g2!0m8y4g2!0q4y4g2)9^5z5q4!0n7y4#2!0q4y4W2)9&6y4W2!0n7x3q4!0q4y4W2!0m8x3q4)9^5y4#2!0q4y4#2!0m8c8q4!0n7c8g2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4W2)9&6y4W2!0n7z5g2!0q4y4g2!0n7b7#2)9^5c8W2!0q4z5q4!0n7c8W2)9&6b7W2!0q4z5q4!0m8x3g2)9^5b7#2!0q4z5q4!0n7y4#2!0n7x3#2!0q4z5q4!0n7c8q4!0m8b7#2!0q4x3#2)9^5x3q4)9^5x3W2!0q4y4#2)9&6y4q4!0m8z5q4!0q4y4W2)9&6c8q4!0m8y4g2!0q4y4g2)9^5b7g2!0m8b7W2!0q4y4W2)9^5b7#2)9^5x3g2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4W2)9^5c8g2!0m8z5q4!0q4y4g2!0n7z5g2!0n7c8W2!0q4y4g2)9^5c8W2!0n7y4#2!0q4y4g2)9^5y4g2!0n7x3e0S2Q4c8e0c8Q4b7U0S2Q4b7f1q4Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4b7e0k6Q4z5o6u0Q4c8e0c8Q4b7U0S2Q4z5p5u0Q4c8e0g2Q4z5f1u0Q4b7V1g2Q4c8e0k6Q4z5o6W2Q4z5o6m8Q4c8e0N6Q4b7e0c8Q4b7V1q4Q4c8f1k6Q4b7V1y4Q4z5f1p5`.
用来劫持Hao123的推广号数据
劫持百度搜索
劫持百度搜索的劫持策略,如下图所示:
劫持策略
劫持百度搜索的数据在0023.dat中,劫持函数如下图所示:
百度搜索劫持函数
与 Hao123劫持情况相似,推广号也在一个列表中共36个,如下图所示:
推广号列表
四、 同源性分析
除了前文中所说的清网卫士外,我们还发现一个与ADSafe具有相同劫持策略及功能模块的广告过滤软件“广告过滤大师”。该软件有两个页面完全相同的官网,分别为hxxp://905K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3q4V1L8h3!0F1i4K6u0W2j5$3&6Q4x3V1k6Q4c8e0g2Q4z5e0u0Q4z5p5y4Z5P5s2S2H3i4K6y4m8i4K6u0r3i4K6u0r3N6%4N6%4i4K6u0W2L8X3g2%4j5h3c8T1L8r3!0U0K9#2)9J5k6h3y4G2L8g2)9J5c8W2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4q4!0n7z5q4)9&6y4q4!0q4x3W2)9^5x3q4)9&6b7$3q4V1L8h3!0F1i4K6u0W2j5$3&6Q4c8e0u0Q4z5o6m8Q4z5f1c8Q4c8e0g2Q4z5f1k6Q4z5f1k6Q4c8e0g2Q4z5e0m8Q4z5p5c8Q4c8e0k6Q4z5e0S2Q4b7f1k6Q4c8e0N6Q4z5e0c8Q4b7U0q4Q4c8e0u0Q4z5o6m8Q4z5f1y4Q4c8e0c8Q4b7U0S2Q4z5p5q4Q4c8e0k6Q4b7U0g2Q4b7U0N6Q4c8e0g2Q4b7e0c8Q4b7e0N6Q4c8e0k6Q4z5e0q4Q4b7e0W2Q4c8e0N6Q4b7V1c8Q4z5e0q4Q4c8e0N6Q4b7V1u0Q4z5f1y4Q4c8e0N6Q4b7e0N6Q4z5e0q4Q4c8e0k6Q4z5p5q4Q4z5o6m8Q4c8e0k6Q4z5f1y4Q4z5o6W2Q4c8e0W2Q4z5e0W2Q4z5e0m8Q4c8e0g2Q4z5o6g2Q4b7f1y4Q4c8e0g2Q4z5p5k6Q4b7U0S2Q4c8e0u0Q4z5o6m8Q4z5f1c8Q4c8e0k6Q4b7U0y4Q4b7e0S2Q4c8e0g2Q4z5o6k6Q4z5p5y4Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0g2Q4b7e0k6Q4z5o6u0Q4c8e0c8Q4b7U0S2Q4z5p5u0Q4c8e0g2Q4z5f1u0Q4b7V1g2Q4c8e0k6Q4z5o6W2Q4z5o6m8Q4c8e0N6Q4b7e0c8Q4b7V1q4Q4c8f1k6Q4b7V1y4Q4z5f1p5`.
admon.cn注册信息
官网页面不但完全相同,且都带有多家安全软件的安全认证,如下图所示:
广告过滤大师官网页面
广告过滤大师劫持策略目录与ADSafe、清网卫士对比,如下图所示:
劫持策略目录对比
不但目录中文件名基本一致,而且用于流量劫持的数据SHA1也基本一致(只有0025.dat的SHA不同),三款软件也都同时包含有相同的功能模块。所以我们可以判断,三款软件同属于一家软件制作厂商。SHA1对比,如下图所示:
流量劫持数据文件SHA1对比
五、 附录
文中涉及样本SHA256:
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
火绒搞的这个分析啊,EXCITED! |
|
|
|
|
|
难怪先前发文说自己不做流量业务了,现在就捅人家。。早有预谋的。。。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
bjtwokeight
