近日, 360安全團隊攔截了一個木馬, 被命名為命名為“NpfIkms”, 它是一個可以利用AdGuard Wfp白驅動下發流覽劫持規則, 篡改使用者流覽器的木馬。
據360安全團隊表示:“NpfIkms”跟其他"流量劫持"類木馬不同, 該木馬在劫持流量同時還會阻斷安全軟體聯網, 導致安全軟體無法正常的查殺和升級。
據安全專家表示, 該木馬已經成功劫持了1010個網址, 其中不乏行業大站:
① 流量導航類網站:sogou、hao123、2345 等
② 購物網站 taobao、JD、dangdang、vip、amazon、vmall 等
③ 下載站(QQ流覽器)等
劫持後木馬將推廣ID修改成自己的推廣ID,
來獲取返利回報,
只要有流量推廣,
都會成為木馬的劫持目標。
這也就是有的時候, 在當你訪問某些電商網站, 經常會跳轉到特定頁面, 或者突然變的很長網址的原因。
那麼,
為什麼說這個木馬是有證書的呢?
簡單理解:
木馬試圖劫持特定類的以https開頭的網址, 這些加密連結, 常用于電商、金融等網站, 向系統導入虛假的根證書, 這樣就可以實現中間人劫持替換SSL加密的網站內容和請求。
添加本地虛假根證書後, 使用流覽器訪問被劫持的頁面, 可以看到頁面的根證書已經被篡改, 並且不會出現證書異常提醒, 危害巨大。
但魔高一尺道高一丈, 360安全中心, 已經成功率先對這一病毒進行有效的攔截。
360安全中心,
也特別溫馨提醒廣大網友:
儘量避免使用非官方途徑的各類系統啟動類工具,
它是導航網站、電商網站木馬劫持的主要傳播途徑。
建議大家:
1、儘量選用原裝正版的作業系統。
2、如果真的有特定需求, 那麼在使用啟動類工具的時候, 一定要使用安全軟體進行掃描與查殺。
3、選擇一款安全與放心的殺毒軟體, 並定期更新病毒庫與升級安全軟體。