厉害了，手机百度断片了40分钟

百度网盟有许多渠道商，这些渠道商都将流量售卖给百度网盟，这个劫持行为是将其他渠道商的推广计费名换成金山的，这样的话，本来应该属于其他渠道的百度网盟推广费用，就被猎豹获得，猎豹再向恶意代码制作者分钱。

5.电商流量劫持：使用IE浏览器访问京东等电商网站时，先跳转到电商导流网站站，然后再跳转回该电商网站。
先跳转到电商导流网站妖猴网（http://www.xmonkey.com），再返回原购物网站之后，电商网站链接就加上了妖猴网的计费名，电商网站就会按照流量向妖猴网支付推广费用，妖猴网再向恶意代码制作者分钱。

三、概要分析
执行任意从http://soft.hao123.com下载到的下载器，不需要进行任何操作，恶意代码就会植入用户计算机。使用火绒剑可以监控植入恶意代码的整个过程，如下图：

恶意代码首次植入用户计算机流程：
1.下载器执行释放的nvMultitask.exe。目前下载器包含的nvMultitask.exe是0.2.0.1版本，该版本仅会在用户计算机上植入部分恶意代码，如下：
a) 3.2.0.1版的HSoftDoloEx.exe
b) 1.7.0.1版的bime.dll
c) 0.4.0.130 版的LcScience.sys
d) 0.5.30.70 版的WaNdFilter.sys
e) 1.0.0.1020版的npjuziplugin.dll
2.植入恶意代码成功后nvMultitask.exe使用命令行参数“-inject=install”执行HSoftDoloEx.exe
3.启动的HSoftDoloEx.exe链接C&C服务器(http://update.123juzi.net/update.php)进行更新，更新的恶意组件将在下次计算机启动后被激活
每次计算机重启，恶意代码都会启动和检查更新：
经过几次更新之后，nvMultitask.exe的会升级到当前最新版本3.2.0.4，后续分析将会以这个版本展开。
最新版本的恶意组件在用户每次开机后都会执行以下流程：
1.LcScience.sys注册进程和映像加载回调将bime.dll分别注入services.exe、explorer.exe、iexplore.exe和其他第三方浏览器进程。
2.注入services.exe中的bime.dll负责启动HSoftDoloEx.exe
1)HSoftDoloEx.exe链接C&C服务器(http://update.123juzi.net/update.php)检测更新。
2)HSoftDoloEx.exe链接C&C服务器(http://update.qyllq.com/getupfs2.php)，获取流量劫持指令。（后续章节进行详细分析）
3.注入explorer.exe中的bime.dll负责在执行5分钟后链接C&C服务器(http://update.123juzi.net/ccl.php)下载并加载恶意代码svcprotect.dat到explorer.exe。
4.svcprotect.dat（1.0.0.11）加载后释放两个全新的流量劫持模块：
1)5.0.0.1版的iexplorer_helper.dat
2)1.5.9.1098版的iexplore.exe

1.5.9.1098版的iexplore.exe是一个伪装系统名称的假IE浏览器，我们把这个文件上传到VirusTotal后发现，很多安全软件检测此文件是病毒，如图：

图 8、Virustotal检测的结果

最终在用户计算机中所有包含恶意代码的文件如下：

有的小伙伴看了半天也没弄明白，“说了这么多，那到底为啥打不开呢？”
答案就是：因为百度太坏！
另外，安全圈大牛赵总（jack）发了个状态：“之前搜索了一下‘凤姐心路历程’，然后百度就打不开了。我颤抖的问一下，是我把百度搞死的吗？谁懂法？问一下我要不要去公安局自首啊？急，在线等……”或许也能完整的解释这一问题。嘿嘿