可以,这很朋友圈

近日,360互联网安全中心接到用户的反馈,说浏览器会莫名其妙地弹出各种广告,360浏览器也不幸背锅。这些广告的内容非常令人尴尬,比如壮阳的、防脱生发的……接到反馈后,我们的工作人员第一时间进行排查,发现广告源头来自腾讯新闻迷你首页不慎混入的一个恶意Flash,目前360已通报腾讯方面及时清除了恶意Flash。

源起“迷你首页”

相信大家对QQ的迷你首页都不会陌生,就像下图这样:

但恰恰就是这样一个大家司空见惯了的弹窗,里面嵌入了一个很不起眼的flash广告,导致了接下来的一切(模特颜值还是只得肯定的╮(╯▽╰)╭):

hxxp://swa.gtimg.com/web/snswin/2017/02/28/16/2179912.swf

该SWF文件Hashes:

CRC-32: B57B0C4A

MD5: 4127B04A2E39201062439A6831AD9122

SHA-1: DC4E9DCD6B68E9EA3CA9F3DA7B457FF576CEC3EB

SHA-256: 00D8F1FB95953F4806F88E7E8A57B439913541EC6FAE1895563DA705B16CA817

拆解分析

经分析,该SWF文件中含有4段package,其中关键点就在于EmbedModelMain:

其内容是解码一段命名为“HaHaGameStr”的字符串:

其解码算法其实很简单,就是以竖线(|)为分隔符将字符串解成一个数组,再将数组内每个数减去3,最终转化为二进制内容加载到内存中执行,以下是用Python复原的解码算法:

最终HaHaGameStr解码完毕后得到的内容如下:

可以,这很朋友圈

看到CWS的文件头,其实已经比较明显了——一个经ZLIB压缩过的SWF文件,虽然这个SWF文件,在真正的运行环境中并未“落地”,而是在内存中直接被加载执行了。但我们可以把他dump出来,看到一个很可疑的url字符串:

而这个URL字符串也在实际运行的抓包过程中得到了印证,SWF文件会访问该地址,而该地址返回的则是一个地区列表:

如果用户在该地址列表中,则不会再有后续的动作。而如果用户不幸的不在该列表中,SWF文件则会继续从浏览器中打开一个广告页面:

hxxp://sgn.qncna.cn/gr.php?ah=gr

该页面会自动跳转到一个随机的广告地址:

我们测试时拿到的这个地址——hxxp://zaoxie.862730.com/bushen/xg.php?ah=gr&id=1——内容非常朋友圈⁄(⁄ ⁄•⁄ω⁄•⁄ ⁄)⁄.:

结语

经分析调查,此次恶意脚本只是控制浏览器打开一些不正经的广告页面,并没有传播木马病毒的行为,电脑出现过自动弹广告情况的网友不必恐慌。

在定位到恶意广告源头后,360第一时间通报腾讯进行处理,360安全卫士也对自动弹出的广告网页进行拦截。目前腾讯新闻已经把含有恶意脚本的广告下线。

网络广告由于数量多、更新快,投放渠道也非常复杂,经常会出现被不法分子恶意利用的情况,国内外多家知名网站和软件客户端都曾混入恶意广告。在此我们呼吁互联网行业加强合作,对网络广告进行更有效地安全检测和监督,共同打击利用恶意广告侵害用户利益的不法团伙。