通信人家园

标题: 中国联通官网携带木马脚本，可向用户推广色情APP [查看完整版帖子] [打印本页]

时间: 2020-11-16 09:13

作者: 国王长了驴耳朵 标题: 中国联通官网携带木马脚本，可向用户推广色情APP

近期，火绒接到用户反馈，称在登录中国联通官网办理业务时被火绒报毒。火绒工程师查看后，发现中国联通官网携带木马脚本（Trojan/JS.Redirector）。当用户访问其中某“业务办理记录”页面时，即会激活木马脚本，导致用户被强行跳转到其他推广页面上，推广内容涉及色情、游戏等。不仅如此，该木马脚本还被设定为一天只跳转一次，降低用户警惕性，以便长期存留于该页面。

640?wx_fmt=png

值得注意的是，联通官网的移动端和PC端都存在上述木马脚本，虽然强行跳转现象目前仅出现在移动端，但不排除未来出现在PC端的可能性。火绒用户无需担心，火绒安全软件可拦截该木马脚本和网页。

640?wx_fmt=png

640?wx_fmt=png

最后，为避免更多用户受该木马脚本影响，我们建议中国联通官方尽快排查上述问题。通过此次事件反映出内容审查和安全检测对官方平台的重要性，我们也希望能通过此次报告，引起相关平台开发人员、管理人员的重视，及时加强安全审查力度，保障广大用户安全。

附：【分析报告】

一、详细分析近期根据用户反馈，我们对联通官网中某页面代码进行分析，发现该页面中被植入了木马脚本

（Trojan/JS.Redirector），该木马脚本逻辑执行后会控制用户当前页面跳转到色情、游戏等广告页面。脚本代码逻辑中控制了每天的访问次数，每天仅会访问一次。我们初步推测其控制服务器在下放广告链接时，也会对用户每天的访问次数进行限制。现阶段我们发现，在被植入相同代码的情况下，只有手机端浏览器可以复现跳转过程（控制服务器可能针对浏览器UA进行了判断），但是不排除PC端浏览器也会出现相同跳转行为的可能性。跳转流程，如下图所示：

640?wx_fmt=png

640?wx_fmt=png

跳转流程

跳转到的色情APP广告，如下图所示：

从联通官网页面跳转到的色情广告

联通官网“业务办理记录”页面代码，如下图所示：

640?wx_fmt=png

640?wx_fmt=png

联通官网“业务办理记录”页面代码

上图中的tj1.js木马脚本会先向控制服务器地址请求跳转相关的网址链接内容，之后控制当前页面进行跳转。tj1.js脚本内容，如下图所示：

640?wx_fmt=png

640?wx_fmt=png

请求tj1.js脚本内容

脚本内容，如下图所示：

640?wx_fmt=png

640?wx_fmt=png

木马脚本内容

链接存放页面返回结果，如下图所示：

640?wx_fmt=png

640?wx_fmt=png

代码执行流程

后续跳转流程，依次如下图所示：

640?wx_fmt=png

640?wx_fmt=png

第一次跳转

640?wx_fmt=png

第二次跳转

640?wx_fmt=png

第三次跳转

640?wx_fmt=png

第四次跳转

640?wx_fmt=png

最终跳转到色情APP广告页面

经过我们进一步溯源，上述木马脚本早在2016年10月份就已经在联通官网页面中出现。相关页面情况，如下图所示：

640?wx_fmt=png

640?wx_fmt=png

历史页面内容

有些用户可能会偶尔遇到，在访问网页时突然被跳转到其他广告页面的情况。我们通过火绒终端威胁情报系统发现，引用有相同木马脚本的站点并非只有联通官网，所以上述分析可能可以给用户遇到类似跳转现场提供参考依据。除前文中提到的色情广告外，现阶段监测到的部分其他被推广链接，如下图所示：

640?wx_fmt=png

640?wx_fmt=png

游戏广告

640?wx_fmt=png

色情APP广告

二、附录样本hash

640?wx_fmt=png

640?wx_fmt=png

附件: 640?wx_fmt=png (2020-11-16 09:11, 655.57 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NDYyNzAyfDRkNjc2ODQ0fDE3NTMwMjQxODl8MHww

附件: 640?wx_fmt=png (2020-11-16 09:11, 4.11 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NDYyNzAzfDQ3OTc2M2U4fDE3NTMwMjQxODl8MHww

附件: 640?wx_fmt=png (2020-11-16 09:11, 48 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NDYyNzA0fDcwYmI2NTA1fDE3NTMwMjQxODl8MHww

附件: 640?wx_fmt=png (2020-11-16 09:11, 97.55 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NDYyNzA1fDc4ZmQ4MGJjfDE3NTMwMjQxODl8MHww

附件: 640?wx_fmt=png (2020-11-16 09:11, 498.02 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NDYyNzA2fGExNGQ1MDFhfDE3NTMwMjQxODl8MHww

附件: 640?wx_fmt=png (2020-11-16 09:11, 57.24 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NDYyNzA3fGYwNzkzZWVjfDE3NTMwMjQxODl8MHww

附件: 640?wx_fmt=png (2020-11-16 09:11, 145.86 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NDYyNzA4fDc0YzdkOTVlfDE3NTMwMjQxODl8MHww

附件: 640?wx_fmt=png (2020-11-16 09:11, 30.9 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NDYyNzA5fGM5YzgwNmQyfDE3NTMwMjQxODl8MHww

附件: 640?wx_fmt=png (2020-11-16 09:11, 24.11 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NDYyNzEwfGNiYjk4NzgxfDE3NTMwMjQxODl8MHww

附件: 640?wx_fmt=png (2020-11-16 09:11, 179.04 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NDYyNzExfDRkODcyNzhifDE3NTMwMjQxODl8MHww

附件: 640?wx_fmt=png (2020-11-16 09:11, 60.28 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NDYyNzEyfGZhYjkwMDIyfDE3NTMwMjQxODl8MHww

附件: 640?wx_fmt=png (2020-11-16 09:11, 47.99 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NDYyNzEzfDA5MzFmMjc0fDE3NTMwMjQxODl8MHww

附件: 640?wx_fmt=png (2020-11-16 09:11, 167.25 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NDYyNzE0fGJiODM2M2FhfDE3NTMwMjQxODl8MHww

附件: 640?wx_fmt=png (2020-11-16 09:11, 206.07 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NDYyNzE1fGM3MTQ0ODY4fDE3NTMwMjQxODl8MHww

附件: 640?wx_fmt=png (2020-11-16 09:11, 451.07 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NDYyNzE2fGIyNmJhY2Q3fDE3NTMwMjQxODl8MHww

附件: 640?wx_fmt=png (2020-11-16 09:11, 4.4 KB) / 下载次数 1
https://www.txrjy.com/forum.php?mod=attachment&aid=NDYyNzE3fGM5OTQ3NmJlfDE3NTMwMjQxODl8MHww

时间: 2020-11-16 09:18

作者: 弓长无常

推广个能联网的app也算良心

时间: 2020-11-16 09:19

作者: demon999

被黑了？不能是联通自己弄的吧

时间: 2020-11-16 09:25

作者: glseda

估计网站被黑可能性不大。很有可能是DNS被黑，所有经过该DNS的网页都被加入了这些代码。

时间: 2020-11-16 09:35

作者: AABB1114

同上

时间: 2020-11-16 09:57

作者: mee

https://www.huorong.cn/info/1605176406524.html

时间: 2020-11-16 10:30

作者: huamutongyou

隐藏的页面太深了，意义有限

时间: 2020-11-16 11:01

作者: youyouran

你这，报警了害了其他用户啊

时间: 2020-11-16 11:29

作者: ifei

火绒开始蹭联通的热度了吧，
做杀毒不行

时间: 2020-11-16 12:13

作者: 豌豆黄2015

本帖最后由豌豆黄2015 于 2020-11-16 12:15 编辑

任何浏览器为了加快浏览速度，都会在本机留下一个缓存页面，不要看上面的网址其实大量数据读的是本地缓存，有些木马利用这个机制，感染电脑上的已经存储的所有缓存页面。

所以，应该不是运营商的官网有毒，而是用户自己去了不知道什么地方感染了木马，木马对用户本地的所有缓存文件都进行了感染，

火绒？没听过这个公司，连这个都搞不清还做啥网络安全。

运营商的网站都由工信部年年不定期，我司今年已经被检查了5次了。聘请第三方顶级黑客以各种方式进行攻击测试，在测试中出现问题的运营商会被考核扣分，

用明文网址作为跳转，这个一看就是本地代码，就怕各位看官看不明白，这恐怕真如楼上坛友所言，是某些软件商来蹭流量的

时间: 2020-11-16 12:25

作者: 豌豆黄2015

grakestar 发表于 2020-11-16 12:20
所以这种行为联通不直接起诉吗

这种行为，360的周鸿祎以前不为人知的时候就做过，撕的是腾讯，借此出名上位。

这种人多了去了，如果这个都要起诉，国企也就别做事情了，不理他们就完了

时间: 2020-11-16 12:46

作者: 电信十年老用户

外省电信用户漫游到贵州电信后，天天被强制推送广告到手机，这有人管么？

时间: 2020-11-16 15:38

作者: 夜猫子呆瓜

glseda 发表于 2020-11-16 09:25
估计网站被黑可能性不大。很有可能是DNS被黑，所有经过该DNS的网页都被加入了这些代码。

我帮你梳理一下语言, 运营商DNS被劫持, 解析到攻击者设置的一个反向代理服务器, 反代服务器满足特定条件时插入了病毒脚本.

时间: 2020-11-16 15:41

作者: 夜猫子呆瓜

本帖最后由夜猫子呆瓜于 2020-11-16 15:43 编辑

豌豆黄2015 发表于 2020-11-16 12:13
任何浏览器为了加快浏览速度，都会在本机留下一个缓存页面，不要看上面的网址其实大量数据读的是本地缓存， ...

火绒是瑞星几个老员工出来创办的, 在IT圈已经声名远扬了, 还需要蹭你热度? 笑skr人! 真的是给自己加戏 !

时间: 2020-11-16 16:08

作者: hzjppkk

glseda 发表于 2020-11-16 09:25
估计网站被黑可能性不大。很有可能是DNS被黑，所有经过该DNS的网页都被加入了这些代码。

那也是官网没上https的原因，还是自己的锅

时间: 2020-11-16 17:21

作者: Gratch

我就是用的火绒，没有遇到任何问题

时间: 2020-11-16 19:05

作者: 摩柯切叶

豌豆黄2015 发表于 2020-11-16 12:13
任何浏览器为了加快浏览速度，都会在本机留下一个缓存页面，不要看上面的网址其实大量数据读的是本地缓存， ...

不知道火绒？？？哥，说实话，见识真有点少了，普通用户不知道倒也无所谓了，业内人士，火绒剑应该挺有影响力的

时间: 2020-11-16 19:17

作者: 家园会员

91?

时间: 2020-11-16 19:36

作者: zhangjijian

91我知道，我有用，联通我知道，我有用。联通移动的APP都是sinovatech外包代工的，不过这火绒是什么不知道，第一次听说。说到瑞星我当年还买过。杀毒不好用，小狮子烦死了跟企鹅差不多，

时间: 2020-11-16 19:37

作者: zhangjijian

附上图片看

附件: 1605526639279802.jpg (2020-11-16 19:37, 58.32 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NDYyODAxfDY2MDJmNDQ0fDE3NTMwMjQxODl8MHww

时间: 2020-11-16 20:35

作者: 穿江大板

小白表示不知火绒大名，反正国内都一帮男盗女娼的玩意，PC用win10自带的defender，手机么，哪天有空刷原生安卓，什么全盘扫描从来不理会，后台搜集用户数据隐私的一帮混账，哥一个都不信。

时间: 2020-11-16 20:55

作者: 富裕科技123

grakestar 发表于2020-11-16 12:20:45 <p>所以这种行为联通不直接起诉吗</p>

联通会

ncoming_police_car:

时间: 2020-11-16 20:59

作者: Gratch

穿江大板发表于 2020-11-16 20:35
小白表示不知火绒大名，反正国内都一帮男盗女娼的玩意，PC用win10自带的defender，手机么，哪天有空刷原生安 ...

清理垃圾才是关键

时间: 2020-11-17 02:46

作者: hkchenv

DNS劫持污染，你却怪联通，666

时间: 2020-11-17 09:44

作者: gngzai

分析的那么详细，拆联通的台

时间: 2020-11-17 09:50

作者: ameoko

挖出来蛀虫

时间: 2020-11-17 16:45

作者: 豌豆黄2015

夜猫子呆瓜发表于 2020-11-16 15:41
火绒是瑞星几个老员工出来创办的, 在IT圈已经声名远扬了, 还需要蹭你热度? 笑skr人! 真的是给自己加戏 !

瑞星，好像有这么一号，不过我一直用的是公安部的杀毒软件冠群金辰KILL，从2000年后就再也没装过杀毒软件，至于电脑嘛，2000年到现在，3~5年更换一次，系统从没重装过，不知道杀毒软件有什么用。。

通信人家园 (https://www.txrjy.com/)

Powered by C114