联通官网携带木马脚本 可向用户推广色情APP - 果核剥壳

近期,火绒接到用户反馈,称在登录中国联通官网办理业务时被火绒报毒。火绒工程师查看后,发现中国联通官网携带木马脚本(Trojan/JS.Redirector)。当用户访问其中某“业务办理记录”页面时,即会激活木马脚本,导致用户被强行跳转到其他推广页面上,推广内容涉及色情、游戏等。不仅如此,该木马脚本还被设定为一天只跳转一次,降低用户警惕性,以便长期存留于该页面。
Image-4.png
值得注意的是,联通官网的移动端和PC端都存在上述木马脚本,虽然强行跳转现象目前仅出现在移动端,但不排除未来出现在PC端的可能性。火绒用户无需担心,火绒安全软件可拦截该木马脚本和网页。
Image-5.png
最后,为避免更多用户受该木马脚本影响,我们建议中国联通官方尽快排查上述问题。通过此次事件反映出内容审查和安全检测对官方平台的重要性,我们也希望能通过此次报告,引起相关平台开发人员、管理人员的重视,及时加强安全审查力度,保障广大用户安全。
附:【分析报告】
一、 详细分析
近期根据用户反馈,我们对联通官网中某页面代码进行分析,发现该页面中被植入了木马脚本(Trojan/JS.Redirector),该木马脚本逻辑执行后会控制用户当前页面跳转到色情、游戏等广告页面。脚本代码逻辑中控制了每天的访问次数,每天仅会访问一次。我们初步推测其控制服务器在下放广告链接时,也会对用户每天的访问次数进行限制。现阶段我们发现,在被植入相同代码的情况下,只有手机端浏览器可以复现跳转过程(控制服务器可能针对浏览器UA进行了判断),但是不排除PC端浏览器也会出现相同跳转行为的可能性。跳转流程,如下图所示:
Image-6.png
跳转流程
跳转到的色情APP广告,如下图所示:
Image-4.png
从联通官网页面跳转到的色情广告
联通官网“业务办理记录”页面代码,如下图所示:
Image-8.png
联通官网“业务办理记录”页面代码
上图中的tj1.js木马脚本会先向控制服务器地址请求跳转相关的网址链接内容,之后控制当前页面进行跳转。tj1.js脚本内容,如下图所示:
Image-9.png
请求tj1.js脚本内容
脚本内容,如下图所示:
Image-10.png
木马脚本内容
链接存放页面返回结果,如下图所示:
Image-11.png
代码执行流程
后续跳转流程,依次如下图所示:
Image-12.png
第一次跳转
Image-13.png
第二次跳转
Image-14.png
 第三次跳转
Image-15.png
第四次跳转
Image-16.png
最终跳转到色情APP广告页面
经过我们进一步溯源,上述木马脚本早在2016年10月份就已经在联通官网页面中出现。相关页面情况,如下图所示:
Image-17.png
历史页面内容
有些用户可能会偶尔遇到,在访问网页时突然被跳转到其他广告页面的情况。我们通过火绒终端威胁情报系统发现,引用有相同木马脚本的站点并非只有联通官网,所以上述分析可能可以给用户遇到类似跳转现场提供参考依据。除前文中提到的色情广告外,现阶段监测到的部分其他被推广链接,如下图所示:
Image-18.png
游戏广告
Image-19.png
文章来源:http://www.huorong.cn/info/1605176406524.html

如果您喜欢本站,点击这儿不花一分钱捐赠本站

这些信息可能会帮助到你: 下载帮助 | 报毒说明 | 进站必看

修改版本安卓软件,加群提示为修改者自留,非本站信息,注意鉴别

(13)
上一篇 2020年11月16日 下午5:07
下一篇 2020年11月17日 上午9:47

相关推荐

发表回复

评论问题之前,点击我,能帮你解决大部分问题

您的电子邮箱地址不会被公开。 必填项已用*标注

评论列表(9条)

  • beifzy
    beifzy 2020年11月18日 上午2:37
    Google Chrome 86.0.4240.198 Google Chrome 86.0.4240.198 Android 8.1.0 Android 8.1.0

    开车了

  • 神秘人1号
    神秘人1号 2020年11月17日 下午10:08
    QQbrowser 10.7.4307.400 QQbrowser 10.7.4307.400 Windows 10 x64 Edition Windows 10 x64 Edition

    老司机带带我。

  • termansu
    termansu 2020年11月17日 下午5:01
    Google Chrome 86.0.4240.185 Google Chrome 86.0.4240.185 Android 10 Android 10

    知道了,91porn 启动。

  • zixue.liu
    Laoliu 2020年11月17日 下午4:32
    Google Chrome 89.0.4327.0 Google Chrome 89.0.4327.0 Windows 10 x64 Edition Windows 10 x64 Edition

    再大的锅也可以甩

  • ql1307096
    ql1307096 2020年11月17日 下午3:15
    Google Chrome 80.0.3987.163 Google Chrome 80.0.3987.163 Windows 7 x64 Edition Windows 7 x64 Edition

    中国联通这是要出大名了吗?

  • rwx9032
    helen9032 2020年11月17日 上午9:05
    Google Chrome 86.0.4240.198 Google Chrome 86.0.4240.198 Windows 10 x64 Edition Windows 10 x64 Edition

    火绒是怎么连上404的play的/doge

    • DestoryG
      DestoryG 2021年1月28日 下午4:28
      Google Chrome 87.0.4280.141 Google Chrome 87.0.4280.141 Windows 10 x64 Edition Windows 10 x64 Edition

      谷歌在国内面向大众还有广告和翻译服务

  • beimoyuan6
    beimoyuan6 2020年11月17日 上午12:03
    Microsoft Edge 86.0.622.69 Microsoft Edge 86.0.622.69 Windows 10 x64 Edition Windows 10 x64 Edition

    改名真快,不愧是你,lsp。

  • 好色男人
    好色男人 2020年11月16日 下午11:26
    QQbrowser 10.7.4307.400 QQbrowser 10.7.4307.400 Windows 7 x64 Edition Windows 7 x64 Edition

    所以,网址呢?