近日,360安全團隊攔截了一個木馬,被命名為命名為“NpfIkms”,它是一個可以利用AdGuard Wfp白驅動下發瀏覽劫持規則,篡改用戶瀏覽器的木馬。
據360安全團隊表示:“NpfIkms”跟其他"流量劫持"類木馬不同,該木馬在劫持流量同時還會阻斷安全軟件聯網,導致安全軟件無法正常的查殺和升級。
據安全專家表示,該木馬已經成功劫持了1010個網址,其中不乏行業大站:
① 流量導航類網站:sogou、hao123、2345 等
② 購物網站 taobao、JD、dangdang、vip、amazon、vmall 等
③ 下載站(QQ瀏覽器)等
劫持後木馬將推廣ID修改成自己的推廣ID,來獲取返利回報,只要有流量推廣,都會成為木馬的劫持目標。
這也就是有的時候,在當你訪問某些電商網站,經常會跳轉到特定頁面,或者突然變的很長網址的原因。
那麼,為什麼說這個木馬是有證書的呢?
簡單理解:
木馬試圖劫持特定類的以https開頭的網址,這些加密鏈接,常用於電商、金融等網站,向系統導入虛假的根證書,這樣就可以實現中間人劫持替換SSL加密的網站內容和請求。
添加本地虛假根證書後,使用瀏覽器訪問被劫持的頁面,可以看到頁面的根證書已經被篡改,並且不會出現證書異常提醒,危害巨大。
但魔高一尺道高一丈,360安全中心,已經成功率先對這一病毒進行有效的攔截。
360安全中心,也特別溫馨提醒廣大網友:
儘量避免使用非官方途徑的各類系統激活類工具,它是導航網站、電商網站木馬劫持的主要傳播途徑。
建議大家:
1、儘量選用原裝正版的操作系統。
2、如果真的有特定需求,那麼在使用激活類工具的時候,一定要使用安全軟件進行掃描與查殺。
3、選擇一款安全與放心的殺毒軟件,並定期更新病毒庫與升級安全軟件。
閱讀更多 蝙蝠俠IT 的文章
