百度承认旗下网站暗藏恶意代码：外包团队干的 已报案

腾讯科技讯 3月3日，百度方面通过旗下微博认证帐号“Hao123”发出《关于“百度旗下网站暗藏恶意代码”事件的调查说明》，对于此前第三方安全机构火绒安全实验室的爆料信息进行了回应，Hao123在回应中承认问题真实存在，并致歉用户。

今年2月28日，火绒安全实验室发布报告《百度旗下网站暗藏恶意代码 劫持用户电脑疯狂“收割”流量》，称经火绒安全实验室截获、分析、追踪并验证，当用户从百度旗下的http://www.skycn.net/和 http://soft.Hao123.com/这两个网站下载任何软件时，都会被植入恶意代码。该恶意代码进入电脑后，会通过加载驱动等各种手段防止被卸载，进而长期潜伏，并随时可以被“云端”远程操控，用来劫持导航站、电商网站、广告联盟等各种流量。

火绒实验室表示，近期接到数名电脑浏览器被劫持的用户求助，在分析被感染电脑时，提取到多个和流量劫持相关的可疑文件：HSoftDoloEx.exe 、bime.dll 、MsVwmlbkgn.sys、LcScience.sys、WaNdFilter.sys，这些可疑文件均包含百度签名。

这些包含恶意代码的可疑文件，被定位到一个名叫nvMultitask.exe的释放器上，当用户在http://www.skycn.net/和http://soft.Hao123.com/这两个下载站下载任何软件时，都会被捆绑下载该释放器，进而向用户电脑植入这些可疑文件。需要强调的是，下载器运行后会立即在后台静默释放和执行释放器nvMultitask.exe，植入恶意代码，即使用户不做任何操作直接关闭下载器，恶意代码也会被植入。

根据分析和溯源，最迟到2016年9月，这些恶意代码即被制作完成。而操纵流量劫持的“远程开关”于近期被开启，被感染的电脑会被按照区域和时段等条件，或者是随机地被“选择”出来，进行流量劫持——安全业界称之为“云控劫持”。

对于火绒实验室的爆料，Hao123在今日进行了回应并表示，火绒实验室曝出相关信息后，百度在第一时间进行了紧急排查，并发现问题确实存在，被影响的电脑会出现浏览器、网址导航被劫持等使用问题，还篡改、伪装网站联盟链接，骗取百度流量收入分成。

Hao123透露，目前掌握的情况有：

1.上述网址提供的Hao123软件下载器，系第三方外包团队开发，在下载平台中植入了存在风险的驱动程序，涉嫌被网络黑产利用，以骗取百度联盟分成为目的，劫持用户流量，伤害用户体验，从中非法牟利；

2.接到举报后，Hao123第一时间清楚所有受感染的下载器，并将查杀信息同步提供给了腾讯、360、绿盟等安全厂商，并开发专杀工具，全面查杀、清除该类恶意代码，预计用户在3月4日后可从Hao123网站首页下载使用；

3.Hao123方面已就此事向公安机关报案，将协助监管部门后续跟进；

4.百度承诺加强监管机制，杜绝该类事件再发生。

对于后续进展，百度方面对腾讯科技表示，已经向公安机关报案，为不干扰警方办案，因此将不再透露任何信息。