百度承認(rèn)旗下網(wǎng)站暗藏惡意代碼：外包團(tuán)隊干的 已報案

騰訊科技訊 3月3日，百度方面通過旗下微博認(rèn)證帳號“Hao123”發(fā)出《關(guān)于“百度旗下網(wǎng)站暗藏惡意代碼”事件的調(diào)查說明》，對于此前第三方安全機(jī)構(gòu)火絨安全實(shí)驗室的爆料信息進(jìn)行了回應(yīng)，Hao123在回應(yīng)中承認(rèn)問題真實(shí)存在，并致歉用戶。

今年2月28日，火絨安全實(shí)驗室發(fā)布報告《百度旗下網(wǎng)站暗藏惡意代碼 劫持用戶電腦瘋狂“收割”流量》，稱經(jīng)火絨安全實(shí)驗室截獲、分析、追蹤并驗證，當(dāng)用戶從百度旗下的http://www.skycn.net/和 http://soft.Hao123.com/這兩個網(wǎng)站下載任何軟件時，都會被植入惡意代碼。該惡意代碼進(jìn)入電腦后，會通過加載驅(qū)動等各種手段防止被卸載，進(jìn)而長期潛伏，并隨時可以被“云端”遠(yuǎn)程操控，用來劫持導(dǎo)航站、電商網(wǎng)站、廣告聯(lián)盟等各種流量。

火絨實(shí)驗室表示，近期接到數(shù)名電腦瀏覽器被劫持的用戶求助，在分析被感染電腦時，提取到多個和流量劫持相關(guān)的可疑文件：HSoftDoloEx.exe 、bime.dll 、MsVwmlbkgn.sys、LcScience.sys、WaNdFilter.sys，這些可疑文件均包含百度簽名。

這些包含惡意代碼的可疑文件，被定位到一個名叫nvMultitask.exe的釋放器上，當(dāng)用戶在http://www.skycn.net/和http://soft.Hao123.com/這兩個下載站下載任何軟件時，都會被捆綁下載該釋放器，進(jìn)而向用戶電腦植入這些可疑文件。需要強(qiáng)調(diào)的是，下載器運(yùn)行后會立即在后臺靜默釋放和執(zhí)行釋放器nvMultitask.exe，植入惡意代碼，即使用戶不做任何操作直接關(guān)閉下載器，惡意代碼也會被植入。

根據(jù)分析和溯源，最遲到2016年9月，這些惡意代碼即被制作完成。而操縱流量劫持的“遠(yuǎn)程開關(guān)”于近期被開啟，被感染的電腦會被按照區(qū)域和時段等條件，或者是隨機(jī)地被“選擇”出來，進(jìn)行流量劫持——安全業(yè)界稱之為“云控劫持”。

對于火絨實(shí)驗室的爆料，Hao123在今日進(jìn)行了回應(yīng)并表示，火絨實(shí)驗室曝出相關(guān)信息后，百度在第一時間進(jìn)行了緊急排查，并發(fā)現(xiàn)問題確實(shí)存在，被影響的電腦會出現(xiàn)瀏覽器、網(wǎng)址導(dǎo)航被劫持等使用問題，還篡改、偽裝網(wǎng)站聯(lián)盟鏈接，騙取百度流量收入分成。

Hao123透露，目前掌握的情況有：

1.上述網(wǎng)址提供的Hao123軟件下載器，系第三方外包團(tuán)隊開發(fā)，在下載平臺中植入了存在風(fēng)險的驅(qū)動程序，涉嫌被網(wǎng)絡(luò)黑產(chǎn)利用，以騙取百度聯(lián)盟分成為目的，劫持用戶流量，傷害用戶體驗，從中非法牟利；

2.接到舉報后，Hao123第一時間清楚所有受感染的下載器，并將查殺信息同步提供給了騰訊、360、綠盟等安全廠商，并開發(fā)專殺工具，全面查殺、清除該類惡意代碼，預(yù)計用戶在3月4日后可從Hao123網(wǎng)站首頁下載使用；

3.Hao123方面已就此事向公安機(jī)關(guān)報案，將協(xié)助監(jiān)管部門后續(xù)跟進(jìn)；

4.百度承諾加強(qiáng)監(jiān)管機(jī)制，杜絕該類事件再發(fā)生。

對于后續(xù)進(jìn)展，百度方面對騰訊科技表示，已經(jīng)向公安機(jī)關(guān)報案，為不干擾警方辦案，因此將不再透露任何信息。