名义上是购物比价插件，暗中却在940家知名网站强插广告！一款名为“比比看”的木马，通过不良下载站和色情播放器等捆绑传播，近期已侵袭了近百万电脑。由于该木马使用“深圳市搜了信息技术有限公司”有效数字签名，被很多杀毒厂商误认为合法软件，目前国内仅360杀毒和安全卫士独家拦截查杀。

“比比看”木马分析报告

◇ 伪装“购物比价插件”，暗中却在各大网站和搜索引擎中强插广告；

◇ 木马劫持插入广告的网站多达940个域名，几乎覆盖所有常用网站；

◇ 通过不良下载站和视频站捆绑推广，感染量近百万电脑；

◇ 包括IE、Chrome等内核的主流浏览器均受影响；

◇ 依靠数字签名免杀，目前国内仅360杀毒和安全卫士拦截查杀“比比看”木马。

最近有网友反馈，访问一些常用网站和使用搜索引擎时，网页中频繁出现来自的广告。经360安全中心调查，此现象是电脑感染一款名为“比比看”的木马插件造成的。

“比比看”木马样本伪装为一个购物比价插件，插件的劫持列表中有多达940个域名，覆盖国内所有知名网站。其推广渠道众多，在不良下载站下载软件、在色情视频站下载播放器，都可能被捆绑安装“比比看”。

电脑中招现象，搜索结果和各大知名网站被插入来自的广告:

木马行为分析:

“比比看”安装包启动后会向system32下释放:（升级程序）、.（篡改IE的插件），之后注册.并启动，由提交用户计算机的信息到51sole后台。

除了通过bho插件劫持IE外，木马还会检测系统中安装的Chrome内核浏览器，并针对此类浏览器用户偷偷下载安装一个Chrome插件，实现对Chrome内核浏览器的劫持。

该木马对非IE内核浏览器劫持列表:

[config]

GoogleChrome=.com:8888/Client/.

GoogleChrome_id=cbbjhegipokkofhhicbckicchjpcpeni

360se6=.com:8888/Client/.

360se6_id=cbbjhegipokkofhhicbckicchjpcpeni

360..........=.com:8888/Client/.

360.........._id=cbbjhegipokkofhhicbckicchjpcpeni

version=.3

download=

安装后的恶意插件:

木马劫持的部分网站列表:

木马插件通过在搜索页面中插入图层（div）的方式，在搜索结果中插入自己的信息。

Chrome内核下，插入新图层代码:

IE内核下插入新图层代码:

被插入的div内容:插入的信息包括当前访问页面的host、访问的url，中招计算机的mac地址、浏览器信息、插件的版本号，以及一个木马的js脚本。

这个js脚本指向51sole的服务器，通过控制服务器的脚本，攻击者可以随意添加任意内容到用户的页面中。

木马捕获时的js脚本，其中有判断中招机器mac地址的操作:

修改中招者的cookie:

木马插件篡改各大网站插入的广告:

打开木马插入的广告链接，进入（一家名为“搜了网”的商务网站）:

由于“比比看”木马插件使用了“深圳市搜了信息技术有限公司”的有效数字签名，使很多杀毒厂商将其误认为合法软件。目前仅360杀毒和安全卫士能够拦截查杀“比比看”木马。