知名软件ADSafe暗藏恶意代码 从众多网站劫持流量

火绒关停流量业务之后，已经开始向劫持流量者宣战！
日前，火绒安全团队发现“ADSafe净网大师”、“清网卫士”、 “广告过滤大师”等多款知名软件暗藏恶意代码，偷偷劫持用户流量。这些软件出自同一公司，功能类似，主要是屏蔽网页广告。根据技术分析，三款软件都会通过替换计费名（不同网站和上游分成的标识）的方式来劫持流量，牟取暴利。其劫持网站数量为近年最多，已达50余家，包括国内多家知名导航站、电商以及在线消费交易平台等。更可怕的是，“ADSafe”劫持规则可随时通过远程操作被修改，不排除其将来用来执行其他恶意行为的可能性，存在极大安全隐患。


图1

火绒安全团队发现，“ADSafe”官网的软件版本虽然停留在v4.0.610，但其论坛、下载站中却发布了v5.3版。根据技术分析，“清网卫士”、“广告过滤大师”和v5.3版“ADSafe”的功能、广告过滤规则，以及恶意代码都完全一样，可以认定，“清网卫士”和“广告过滤大师”软件其实就是"ADSafe"的最新版本，都会通过替换计费名（不同网站和上游分成的标识）的方式来劫持流量，牟取暴利。

目前，"ADSafe"（v5.3及以上版本）和“清网卫士”等软件正在通过国内各大下载站、官网以及官方论坛大肆传播。用户电脑中只要装了上述软件，网站中（如 图2）产生的流量都会被劫持。 


图2 

如上图所示，此次涉及到的受劫持网站数量是我们近年来发现最多的一次，共有50余家。不仅包括国内的导航站、电商（淘宝、京东、华为商城、小米商城、1药网等）；还包括国内一些在线消费交易平台（新东方、悟空租车）；国外的品牌购物站（Coach、Hanes、Clarins等）。

另外，现在劫持规则还在持续更新，不排除将来可能用于其他攻击。例如火绒之前报道过的病毒利用JavaScript进行挖矿（www.huorong.cn/info/151443978790.html）和窃取个人信息（www.huorong.cn/info/1518338707106.html）的案例，建议广大用户注意防范。“火绒安全软件”最新版可以拦截“ADSafe”和“清网卫士”。 

近几年，互联网公司间的流量争夺赛愈演愈烈，并成为其主要收入来源。然而“流量”和“侵害用户”往往是相伴而生，这也是“火绒关停流量业务”的初衷。软件提供服务，用户购买服务/产品，才是健康的商业模式，而不是打着“免费”的旗子，背地里却把用户电脑当作“战场”，当成软件厂商的赚钱工具。归根结底，只有规范的服务、优质的产品，才是企业的制胜法宝，是企业长久发展的经营之道。



长按指纹  识别二维码   关注我欢迎讨论与转载，转载请注明作者与出处。“常言道”已入住今日头条、百度百家、一点资讯、搜狐新闻、网易新闻、凤凰新闻、腾讯新闻、新浪新闻、界面、UC、号外等多个媒体平台。有合作意向请发送邮件至32357985@qq.com。