现在的位置: 首页 > 看点 > 正文

“AD-AnTi净广大师”实为广告病毒,劫持百度搜索牟利

2016年12月16日作者 看点 ⁄ 阅读 14,095 次
插件

市面上五花八门的广告过滤软件/插件,打着广告过滤的幌子,背后非法操纵过滤规则,谋取巨额利益,殊不知广告过滤软件/插件才是最大的毒瘤。

“净广大师”只是这个产业链的冰山一角,之前还发生过“adtchrome”广告过滤插件和“chrome大师”相互撕逼被360安全团队揭发并封杀。

一个人制作了10款同性质的广告过滤插件,循环作恶,封杀一款,就改名新上一款,月收入几十万,而吃亏的永远是用户。

转载一篇来自火绒安全实验室的文章:

“净广大师”病毒攻破HTTPS防线,劫持百度搜索流量牟利

近期,火绒团队截获一个由商业软件携带的病毒,并以其载体命名为“净广大师”病毒。在目前广为流行的“流量劫持”类病毒中,该病毒策略高明、技术暴力,并攻破HTTPS的“金钟罩”,让百度等互联网厂商普遍使用的反劫持技术面临严峻挑战。

根据用户反馈,火绒团队截获一个新的劫持类病毒,该病毒通过网络过滤驱动劫持百度搜索流量进行牟利,劫持手法十分暴力,致使UC、360、搜狗等知名浏览器甚至无法正常访问百度搜索页面。根据对用户现场调查,并借助“火绒威胁情报系统”追踪源头,我们发现该病毒是由一个名为“净广大师”的广告拦截软件释放并加载的。

“净广大师”病毒攻破HTTPS防线

“净广大师”软件安装后,会释放一个名为rtdxftex.sys的驱动程序,该驱动程序具有很强的内核级对抗能力。被感染之初,用户不会感觉到任何异样,但该病毒驱动文件名会随着重启不断变换,以此来躲避安全厂商的截杀和代码分析。即使“净广大师”被卸载,该病毒功能依然会随机激活,劫持用户的搜索流量。

更重要的是,该病毒为火绒今年首次截获的突破HTTPS加密通信协议的恶意程序。如下图所示,该病毒可以劫持基于HTTPS的百度搜索的流量:

“净广大师”病毒攻破HTTPS防线

病毒劫持百度搜索页面

该病毒被激活后,会检测访问百度搜索的计费ID,如果非病毒自身的计费ID则无法正常访问百度搜索,使得所有浏览器只能访问带有病毒计费ID的百度搜索页面。如下图所示:

“净广大师”病毒攻破HTTPS防线

非病毒计费号访问百度展示图

03.png
该病毒除网络过滤外,还通过文件过滤驱动阻止其他程序对其驱动文件进行访问,在打开该驱动文件信息时无法得到该文件的完整信息。如下图所示:

“净广大师”病毒攻破HTTPS防线

图2、病毒驱动信息(左为病毒加载后截图、右为实际文件信息)

“净广大师”病毒攻破HTTPS防线

图3、病毒签名信息

“净广大师”的官网自称,该软件通过了多家安全厂商的认证,如下图所示:

“净广大师”病毒攻破HTTPS防线

火绒安全软件”已经针对病毒母体“净广大师”软件和官网进行全面的拦截和查杀。针对病毒驱动程序,我们也已经将其相应的清除方法加入到了火绒专杀工具中。如图所示:

“净广大师”病毒攻破HTTPS防线

广大用户安装“火绒安全软件”即可对该病毒进行有效拦截查杀,如果已经感染该病毒,建议下载火绒专杀工具对该病毒进行清除。

火绒安全团队将持续追踪查杀该病毒可能出现的变种,如果您的浏览器有被该病毒感染的症状,可以到火绒论坛反馈相关情况。

老殁吐槽

天下没有免费的午餐,哪怕说的再好,也是为了忽悠你赚钱。
广告过滤软件/插件的盈利模式,要么是劫持流量,要么收黑钱修改过滤规则,
作为普通用户来说,你看不见也摸不着,只能被当猴子耍,还要帮他们敲锣。
贼喊捉贼,贼做警察,卸载广告过滤软件/插件,才是解决之道。

adblock、AdblockPlus、ADSafe、ADMon、Bloxy、广告终结者、广告防御者、AdMuncher
大家认为,他们自身真的干净吗?不言而喻,欢迎留言。

老殁深扒

“净广大师”为上海展宏网络科技有限公司产品。
该公司对外投资1笔,为 北京三鼎梦软件服务有限公司 ,产品为 3dm游戏站。
参考:
http://www.tianyancha.com/company/1461151308
http://www.tianyancha.com/company/45201503
https://www.lagou.com/gongsi/131298.html

关于火绒

用过火绒的人都会明白,火绒小巧干净,没有广告,不强制,所有设置都明明白白,是非常良心的一款安全软件。
最近“净网大师”被曝光后发了一篇《公告》,文中说【火绒强制改用户主页、强制开机启动、锁定注册表、安装文件夹无法删除、偷偷安装手机助手,游戏盒和网游】,写这种幼稚的黑词,一定没有用过大脑,因为火绒好不好,用过的人都会知道,尤其是说【火绒偷偷安装手机助手、游戏盒子和网游】,真是操了啊大哥,动动脑子再写好不好,好低级啊。

老殁感慨

明明背后做了对不起用户的事,明面上还要反咬一口,咬的也没有水平,令人作呕。

还有那个叫闪电的,你转载软件无所谓,不留原文链也无所谓,毕竟我这不讲究版权,但是你把我敲的这些字复制粘帖了,你是和我思维一样了?我到这个站里看了一下,全是 标题党、诱导下载,即便你骗了不少流量,也不要忘了:

善恶终有报,
天道好轮回。
不信抬头看,
苍天饶过谁。

“AD-AnTi净广大师”实为广告病毒,劫持百度搜索牟利老殁不屑于跟这类傻逼打交道,无论是吵个面红耳赤,还是急于证明自己清白,都是一种自寻烦恼的行为,容易把自己的情商与智商拉到地平线以下。与其和傻X较劲,不如放自己一条生路,告诉他对不起我这个打火机让你这支旱烟失望了,希望他能够找到更适合自己的点火方式,无论是用火柴煤气灶还是氧气切割机。别和狗抢道,让狗先过不丢人。

相关文章

《广告过滤插件2016年中旬撕逼大战》


相关推荐

发表评论

目前有 55 条留言    访客:49 条, 博主:6 条       申请 留言头像

  1. dwwdad 2017年03月16日 上午9:16  Δ21楼 回复
    UC Browser 8.8 UC Browser 8.8 Windows 7 Windows 7

    真棒啊

  2. MINI大熊 2017年03月05日 下午11:22  Δ22楼 回复
    Maxthon 5.0.1.3000 Maxthon 5.0.1.3000 Windows 8.1 x64 Edition Windows 8.1 x64 Edition

    广告终结者也不是好鸟,UC浏览器的百度主页经常提示被DNS劫持。广告终结者曾被UC官方强制落架几个月,后来又重新上架

  3. 东风 2017年02月18日 下午7:59  Δ23楼 回复
    Google Chrome 45.0.2454.101 Google Chrome 45.0.2454.101 Windows 8.1 x64 Edition Windows 8.1 x64 Edition

    允许我挖个坟说一句。。。我一直用ADSafe净网大师 从很早的版本就开始用 觉得绿色纯净有良心 结果这货竟然也叛变了。。。最近经常出现网页重定向和特定网页打不开的情况 尤其购物网站 竟然通过yiqifa和egou之类的域名跳转。。。我都惊呆了 我从来没中过毒啊 全盘杀了一下病毒和木马 排除了嫌疑 看了一下浏览器的插件 也没发现可以的 更何况我连换了n个浏览器 全部出现重定向。。。。。。。。。。。最终我锁定了adsafe 关了之后似乎就不会redirect了。。。。。。。。。。。。现在这些去广告软件/插件打着给网民消费者维权的旗号做这种事。。。。。。。。良心也是大大的坏了。。。

  4. 二恶 2017年02月14日 下午8:31  Δ24楼 回复
    UC Browser 7.6 UC Browser 7.6 Windows 7 x64 Edition Windows 7 x64 Edition

    ADSafe没这个黑心吧,虽然肯定也不会良心多少

  5. 2017年02月12日 上午2:54  Δ25楼 回复
    Google Chrome 56.0.2924.76 Google Chrome 56.0.2924.76 Windows 10 x64 Edition Windows 10 x64 Edition

    chrome商店里面的一些插件还是安全的,毕竟谷歌在盯着。chrome+adb+广告终结者+优酷爱奇艺视频去广告这几个插件,就算浏览1024社区都没看到广告

  6. 支持 2017年02月02日 下午9:36  Δ26楼 回复
    Google Chrome 50.0.2661.102 Google Chrome 50.0.2661.102 Windows 10 x64 Edition Windows 10 x64 Edition

    可否转发一下?带上贵版权。


    • 城 管
      殁漂遥 2017年02月03日 上午10:03  ∇地下1层 回复
      Google Chrome 50.0.2661.102 Google Chrome 50.0.2661.102 Windows 10 x64 Edition Windows 10 x64 Edition

      可以的。新年快乐

  7. aps 2017年01月29日 下午11:59  Δ27楼 回复
    Google Chrome 55.0.2883.87 Google Chrome 55.0.2883.87 Windows 10 x64 Edition Windows 10 x64 Edition

    已知净网大师有右下角定时弹出的“魔方新闻”消息,已经卸载了。
    目前为止我就用adblock和ublock这两个插件的,据说这两个插件的收入主要是通过捐赠吧,我觉得暂时没发现多少问题吧,而且博主说过这网站会被一些广告拦截软件拦截,但我发现这个ublock并没有拦截这个网站。
    至于杀毒软件….想起之前的3Q大战,微点被打压等事件我想想还是用国外杀毒软件吧,虽然国外杀毒软件多数都是收费的,但至少基本功能还是能用得上的,反正国产的软件尽量少用,毕竟我国互联网…很黑很黑。

  8. 123 2017年01月27日 上午11:15  Δ28楼 回复
    Internet Explorer 11.0 Internet Explorer 11.0 Windows 7 x64 Edition Windows 7 x64 Edition

    希望老殁出一个净网 插件/软件

  9. 晓图 2017年01月24日 下午6:40  Δ29楼 回复
    Google Chrome 55.0.2883.87 Google Chrome 55.0.2883.87 Windows 10 x64 Edition Windows 10 x64 Edition

    支持老殁,真的感谢=。=

  10. Ublock 2017年01月13日 下午3:18  Δ30楼 回复
    Google Chrome 55.0.2883.87 Google Chrome 55.0.2883.87 Windows 10 x64 Edition Windows 10 x64 Edition

    路由器+插件 无压力

  11. yuiop 2017年01月11日 下午1:18  Δ31楼 回复
    Firefox 50.0 Firefox 50.0 Windows 10 x64 Edition Windows 10 x64 Edition

    装了几年的Bloxy,最后才发现是一个木马,切身体会。


    • 城 管
      殁漂遥 2017年01月11日 下午2:46  ∇地下1层 回复
      Google Chrome 50.0.2661.102 Google Chrome 50.0.2661.102 Windows 10 x64 Edition Windows 10 x64 Edition

      防不胜防啊

    • aps 2017年01月30日 上午12:01  ∇地下1层 回复
      Google Chrome 55.0.2883.87 Google Chrome 55.0.2883.87 Windows 10 x64 Edition Windows 10 x64 Edition

      Bloxy,保护伞
      国产的….这种软件算了吧。

    • 11 2017年02月01日 下午4:34  ∇地下1层 回复
      Google Chrome 45.0.2454.101 Google Chrome 45.0.2454.101 Windows 7 x64 Edition Windows 7 x64 Edition

      bloxy也有问题么?还是说你装了假冒的。。

  12. @ 2016年12月22日 下午4:27  Δ32楼 回复
    Google Chrome 50.0.2661.102 Google Chrome 50.0.2661.102 Windows 7 x64 Edition Windows 7 x64 Edition

    起初一看我以为是 净网大师,这俩名字太接近,容易混淆。我觉得,你应该把后面写到的“净网大师”改为“净广大师”,毕竟这说法分明是两个软件

  13. 大凉枫 2016年12月21日 下午11:38  Δ33楼 回复
    Google Chrome 46.0.2490.86 Google Chrome 46.0.2490.86 Windows 7 x64 Edition Windows 7 x64 Edition

    我支持火绒,

  14. LEE 2016年12月21日 下午12:48  Δ34楼 回复
    Google Chrome 55.0.2883.75 Google Chrome 55.0.2883.75 Windows 8.1 x64 Edition Windows 8.1 x64 Edition

    是净广大师发公告,老殁写错了

    • @ 2016年12月22日 下午4:29  ∇地下1层 回复
      Google Chrome 50.0.2661.102 Google Chrome 50.0.2661.102 Windows 7 x64 Edition Windows 7 x64 Edition

      这俩名字很容易混淆,我起初一看以为是 净网大师

  15. hatsune0Miku 2016年12月19日 下午9:14  Δ35楼 回复
    Google Chrome 50.0.2661.102 Google Chrome 50.0.2661.102 Windows 7 x64 Edition Windows 7 x64 Edition

    个人认为国内这些去广告软件缺乏监管

  16. abc 2016年12月19日 下午7:21  Δ36楼 回复
    Google Chrome 49.0.2623.75 Google Chrome 49.0.2623.75 Windows 10 x64 Edition Windows 10 x64 Edition

    一直用adsafe

    • aps 2017年02月04日 下午6:46  ∇地下1层 回复
      Google Chrome 55.0.2883.87 Google Chrome 55.0.2883.87 Windows 10 x64 Edition Windows 10 x64 Edition

      现在adsafe右下角弹出“魔方新闻”广告

  17. Copa 2016年12月19日 下午6:47  Δ37楼 回复
    Google Chrome 54.0.2840.99 Google Chrome 54.0.2840.99 Windows 10 x64 Edition Windows 10 x64 Edition

    我一直用的是ADM,阿呆喵,这个总没有恶意行为把。

  18. 免费福利 2016年12月19日 上午9:47  Δ38楼 回复
    Google Chrome 55.0.2883.75 Google Chrome 55.0.2883.75 Windows 7 x64 Edition Windows 7 x64 Edition

    这么犀利 套路好深啊

  19. QQ00 2016年12月18日 下午8:36  Δ39楼 回复
    Google Chrome 55.0.2883.87 Google Chrome 55.0.2883.87 Windows 10 x64 Edition Windows 10 x64 Edition

    adblock、AdblockPlus、ADSafe、ADMon、Bloxy、广告终结者、广告防御者、AdMuncher
    大家认为,他们自身真的干净吗?

    大家一直认为很干净。

  20. 2016年12月18日 上午12:08  Δ40楼 回复
    Google Chrome 55.0.2883.87 Google Chrome 55.0.2883.87 Windows 7 x64 Edition Windows 7 x64 Edition

    adblockplus貌似是丑闻最少的 国外开发商比较要脸