近日,360安全团队拦截了一个木马,被命名为命名为“NpfIkms”,它是一个可以利用AdGuard Wfp白驱动下发浏览劫持规则,篡改用户浏览器的木马。
据360安全团队表示:“NpfIkms”跟其他"流量劫持"类木马不同,该木马在劫持流量同时还会阻断安全软件联网,导致安全软件无法正常的查杀和升级。
据安全专家表示,该木马已经成功劫持了1010个网址,其中不乏行业大站:
① 流量导航类网站:sogou、hao123、2345 等
② 购物网站 taobao、JD、dangdang、vip、amazon、vmall 等
③ 下载站(QQ浏览器)等
劫持后木马将推广ID修改成自己的推广ID,来获取返利回报,只要有流量推广,都会成为木马的劫持目标。
这也就是有的时候,在当你访问某些电商网站,经常会跳转到特定页面,或者突然变的很长网址的原因。
那么,为什么说这个木马是有证书的呢?
简单理解:
木马试图劫持特定类的以https开头的网址,这些加密链接,常用于电商、金融等网站,向系统导入虚假的根证书,这样就可以实现中间人劫持替换SSL加密的网站内容和请求。
添加本地虚假根证书后,使用浏览器访问被劫持的页面,可以看到页面的根证书已经被篡改,并且不会出现证书异常提醒,危害巨大。
但魔高一尺道高一丈,360安全中心,已经成功率先对这一病毒进行有效的拦截。
360安全中心,也特别温馨提醒广大网友:
尽量避免使用非官方途径的各类系统激活类工具,它是导航网站、电商网站木马劫持的主要传播途径。
建议大家:
1、尽量选用原装正版的操作系统。
2、如果真的有特定需求,那么在使用激活类工具的时候,一定要使用安全软件进行扫描与查杀。
3、选择一款安全与放心的杀毒软件,并定期更新病毒库与升级安全软件。
原创·蝙蝠侠IT https://www.batmanit.com/