关闭

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 会员商城 | 360手机官网 | 社区客户端

推荐论坛版块粉丝趴报名活动众测会员商城积分商城
近期360安全大脑监测到大量针对浏览器的劫持攻击,中招用户的浏览器被静默安装了恶意扩展(如时钟提醒、今日惠购、页游等),然后浏览网页时莫名跳转到指定网站。

  目前该恶意扩展已劫持超过2600个网站,并且对于部分网站,它还把作恶开始、结束时间指定在下班或深夜时段,已经累计超过百万用户受到影响。经360安全大脑追踪分析,该恶意扩展主要通过一款叫做游迅游戏盒子的软件植入用户电脑。

  部分中招用户实例:

1)中招用户访问淘宝,会被劫持跳转到带ID的天猫链接:

360社区

360社区


2)还有部分用户访问hao123导航,被劫持跳转到带ID的2345导航:

360社区

360社区


3)QQ游戏、4399、7k7k等常见游戏网站被劫持到一个棋牌游戏网站:

360社区

360社区


4)其它一些私服网站则全部劫持到该私服页面:



360社区

360社区


  受影响区域分布:

    广东、江苏、浙江、山东、辽宁等沿海地区的用户劫持受影响程度比较高。

360社区

360社区




  行为分析:

    样本:



360社区

360社区

360社区

360社区



                                                 安装说明中诱导用户退出杀软的提示


  该游戏盒子程序主要通过游迅网进行传播,在其安装说明中诱导用户允许或关闭杀毒软件运行;游戏启动器在用户点击关闭按钮退出时则会下载执行配置文件中配置的伪装成刺激战场游戏的木马程序,该木马执行后判断杀软环境又会去云端(hxxp://box.bainuonet.com/extendU/ChggmeePlugin.zip)拉取恶意扩展在多个浏览器进行安装,并且云端还会不断变换扩展名称:

360社区

360社区


添加到浏览器中的部分恶意浏览器扩展(页游、时钟提醒、今日惠购等),如下图所示:



360社区

360社区


360社区

360社区


该扩展会随着浏览器的打开而在后台运行,从链接hxxp://lusang.cckyedu.com/cgi/NewPageJumpConfiguration.ashx/pagejumpconfig/getconfig?intermode=0&ver=读取json配置用于流量劫持的配置列表,同时为了防止被用户轻易发现,其在多个连接的劫持配置中还设置了进行劫持的时间段控制代码,在指定的时间段才会劫持;另外如果不在劫持时间段内则会通过一个触发机率控制参数“Odds”来控制触发劫持行为的机率。

360社区

360社区


                                                              云控读取劫持列表


360社区

360社区


                                                   redirectUrl方法跳转劫持页面代码片断


  之后就会在后台跳转匹配其规则的链接,有的带上其自己的推广标识,有的甚至直接跳转到其自建的同类型的网站地址或下载链接,完成流量劫持;配置规则包含了电商、导航、页游、直播、下载站、彩票、私服等类型(如淘宝、天猫、京东、2345、hao123、知乎、携程、华为商城、苏宁易购等超过2600个网站链接)

360社区

360社区


                                                               劫持时间段分布



360社区

360社区

                                                                     劫持规则示例


                                                                 部分劫持规则截图:


360社区

360社区




360安全大脑提醒用户:

1、使用360安全卫士可拦截和阻止该木马的攻击,建议广大用户及时下载安装360安全卫士保护计算机安全;

2、对于杀毒软件报毒的程序,不要轻易选择添加信任或退出杀软运行;

3、如发现浏览器访问正常网站出现自动跳转到带计费链接的网站时尽快使用安全软件进行查杀;

4、建议用户选择正规渠道如360软件管家安装游戏,以免自己的电脑成为不法分子控制劫持的工具。

360社区

360社区



来源  360官网

共 1 个关于恶意扩展疯狂袭击浏览器,2600+个网站被劫持的回复 最后回复于 2019-6-22 18:20

评论

直达楼层

V皇弋 LV3.中士 发表于 2019-6-22 18:20 来自360社区WAP端 | 显示全部楼层 | 私信
我想问问这个怎么办啊?
您需要登录后才可以回帖 登录 | 注册

本版积分规则

飞机飞行 超级版主

粉丝:160 关注:12 积分:136721

精华:212 金币:166900 经验:111133

最后登录时间:2019-9-24

公测360家庭防火墙V5S 公测360摄像机变焦宠物版 公测360摄像机户外版 360家庭防火墙APP内测 公测360摄像机标准版 儿童五周年纪念章 版主 安全卫士10周年纪念 360粉丝达人勋章 360手机f4 360会员商城青铜会员

私信 加好友

最新活动

女性专场吐槽会招募

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        关注360粉丝团,回复:抽奖,每周抽一个锦鲤大奖,等啥呢?扫它!!!

        快速回复 返回顶部 返回列表