360-“幽浮”广告：一个浏览器劫持软件的技术分析

“幽浮”广告：一个浏览器劫持软件的技术分析0x00前言对于网站上的各种弹窗侧栏广告，大家已经屡见不鲜。我们一边通过网站获取我们想要的信息，一边默默忍受的各种广告的苦恼。网站论坛通过投放广告来获得收入，这是无可厚非的，但是，我们在网站上看到的各种广告，并不一定就是该网站正常投放的，有可能是其他恶意软件通过某种技术手段，进行的流氓广告推广。这种恶意软件一旦得以运行，往往会使用户的浏览器上出现各种莫名的、来历不明的“幽浮”广告。近日，360互联网安全中心捕获到一个恶意软件程序，该恶意软件正是通过劫持浏览器，注入恶意的JS代码，从而达到投放流氓广告获利的目的。0x01恶意软件信息该恶意软件名为“WebJs”，打开之后，无任何界面，一直在后台静默运行。通过对该恶意软件的分析以及溯源，发现该软件是由一个名为浏览器卫士（HProtect）的软件下载并安装运行的，该浏览器卫士其实是一个假借着保护浏览器的名义的流氓软件，它会阻止其他浏览器以及安全软件的安装，破坏安全软件的功能，同时会静默下载安装推广软件。通过搜索，发现很多用户都遇到过这种问题，如下图所示。