&p&耶。上礼拜辞了。终于说再见了！&/p&&p&&br&我们敬爱的老板又给我们发福利啦今天！一人一杯进口咖啡！还有三天过期卖不掉的那种！&/p&&p&大家纷纷感恩戴德，在群里欢呼…表达对老板的爱戴之情(?˙ー˙?)&/p&&p&这可能是在公司里最开心的事情了，好希望啥也卖不掉啊…大家分一分多好(?_?)&/p&&p&——————&/p&&p&事实证明，没有最抠，只有更抠……&/p&&p&我们公司招啥玩意都是4-6K，还要有经验的，丢了东西还要赔的。招一个店长（公司转型开始搞新零售开便利店了），2年经验的，4-6K。物流主管，三年以上经验的，4-6K。不管啥职位，都是4-6K。人家又不傻！所以来应聘的都是刚毕业的毛头小子，经验也都是学校里实习来的，根本招不到真正有经验有实力的人。老板还要嫌弃人家……&/p&&p&包饭？不存在的，补贴？都在工资里了。&/p&&p&一金？是没有的。&/p&&p&加班？不到晚上十点是不算的。五点半下班，不从6点开始是不算的。&/p&&p&为啥？因为你吃饭要时间啊。人事这么回答。&/p&&p&加班工资？别别别，会被打死的。&/p&&p&年终奖？这啥玩意，好吃吗？&/p&&p&节日福利？哇苏果卡200诶！&/p&&p&加薪？主管点了根烟，忧郁的烟雾在空气里跳悲伤的舞：“三年了，没动过一分钱。”&/p&&p&日常福利？产品不过期是不会送你的。&/p&&p&高温补贴？这是哪个高端城市的东西？为啥我没听说过？&/p&&p&项目奖金？得了，不挨骂就不错了。啥？超额完成？老板端起茶杯，恨铁不成钢地说：“呵呵，就不能做得更好吗？”&/p&&p&公司活动？哈哈哈哈哈哈哈，双十一集体牺牲周末去仓库帮忙算吗？不包饭的那种，不给加班工资的那种。&/p&&p&昨天老板买了个保时捷。&/p&&p&上次一个员工出车祸了，老板撞得，没给员工买保险。不肯赔钱，被告了，法院判赔十几万。&/p&&p&老板不服，上诉，驳回，维持原判。&/p&&p&老板口头禅：我给你们发这么多钱！（4-6K）你们就给我做成这样，不是在浪费我的钱吗！&/p&&p&&br&&/p&&p&不说了，都是泪。等安安心心过完年，让俩夫妻老总玩蛋去吧。&/p&&p&我以为我们公司已经很抠门了，看看回答居然还算好的。&/p&&p&心痛。&/p&&p&一群弱鸡还要匿名。我就不匿。来开了我啊！&/p&&p&&br&&/p&&p&竟然有人觉得工资高。我了个去！南京4-6K能干什么？我毕业两年，每一年物价都得涨。刚毕业的时候煎饼果子才七块多一个，现在一个煮鸡蛋都得两块你们知道吗？嗯？&/p&&p&两年前4-6K南京能活得稍微好一些，那时候1000块以内还能租个好一点的非隔断单间。现在你去瞧瞧！怕是只能在六合租了！&/p&&p&而且4-6K你们不懂吗？还不是4K！高一点也不会超过5K！还得扣税交保险的你们知道吗？！！&/p&&p&我上一家公司4.8K，后来公司突然解散，身上一屁股债，不得已为了谋生和还债到了这家公司，开价4.5K居然说太高了？！WTF？！我上班第一天有另一家公司说6K叫我去，我不喜欢反悔，都签合同了，就没去。&/p&&p&现在想想，该跑的时候就他妈得跑！&/p&&p&&br&&/p&&p&不仅对我们抠门，在很多工作上都抠门，明明很好的事情，就是不肯花一分钱。&/p&&p&我们品牌部负责企业品牌推广的工作，之前弄公众号的时候，没几个粉丝，我坑此坑次写文章、做活动抽奖送礼，从无到有，一个多月好不容易400粉丝了，结果被叫过去谈话。&/p&&p&“每次一抽奖就送产品，一次一百多，这成本也太大了。”&/p&&p&我眼珠子都要喷出来了！一个礼拜两次！一次一百多！一个月一千块不到！&/p&&p&我说那不做线上活动了，找找大号合作一下，或者弄个线下活动推广一下，性价比高一点。&/p&&p&“这不是得花更多钱吗？”&/p&&p&我屎都要喷出来了！&/p&&p&骂了隔壁不花钱粉丝从天上掉下来吗？！&/p&&p&昂？！&/p&&p&我真的是没办法了，还要考核我们KPI，我真的是服了，你考核什么玩意？我来一个月就写了四份活动策划，一看到经费问题他妈的就说不做不做。&/p&&p&不做你他妈跑大街上拿锤子逼着人家关注吗？&/p&&p&然后，新媒体部分就被停掉了。我刚进来的时候老板信誓旦旦说“今年要投300W在品牌和新媒体上。”&/p&&p&老子见到过一毛钱就出门被车撞死！&/p&&p&唉，完全吐槽，发泄一下郁闷。&/p&&p&然后好好看书学习……为下一家做准备吧。&/p&&p&反正年底估计得走一半人。&/p&&p&自己玩蛋去吧。辣鸡！&/p&&figure&&img src=&https://pic2.zhimg.com/50/v2-263f5edfadcc_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&261& data-rawheight=&260& class=&content_image& width=&261&&&/figure&&p&&br&&/p&&p&来来来，继续赞我，别停！&/p&
耶。上礼拜辞了。终于说再见了！ 我们敬爱的老板又给我们发福利啦今天！一人一杯进口咖啡！还有三天过期卖不掉的那种！大家纷纷感恩戴德，在群里欢呼…表达对老板的爱戴之情(?˙ー˙?)这可能是在公司里最开心的事情了，好希望啥也卖不掉啊…大家分一…
&figure&&img src=&https://pic3.zhimg.com/v2-f3d872e8ab3f75b173dd32fd99eaef83_b.jpg& data-rawwidth=&660& data-rawheight=&370& class=&origin_image zh-lightbox-thumb& width=&660& data-original=&https://pic3.zhimg.com/v2-f3d872e8ab3f75b173dd32fd99eaef83_r.jpg&&&/figure&&h2&一、
经火绒安全实验室截获、分析、追踪并验证，当用户从百度旗下的&a href=&http://link.zhihu.com/?target=http%3A//www.skycn.net/& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://www.&/span&&span class=&visible&&skycn.net/&/span&&span class=&invisible&&&/span&&/a&和 &a href=&http://link.zhihu.com/?target=http%3A//soft.hao123.com/& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&soft.hao123.com/&/span&&span class=&invisible&&&/span&&/a&这两个网站下载任何软件时，都会被植入恶意代码。该恶意代码进入电脑后，会通过加载驱动等各种手段防止被卸载，进而长期潜伏，并随时可以被“云端”远程操控，用来劫持导航站、电商网站、广告联盟等各种流量。&p&&br&
火绒实验室近期接到数名电脑浏览器被劫持的用户求助，在分析被感染电脑时，提取到多个和流量劫持相关的可疑文件：HSoftDoloEx.exe 、bime.dll 、MsVwmlbkgn.sys、LcScience.sys、WaNdFilter.sys，这些可疑文件均包含百度签名。&br&这些包含恶意代码的可疑文件，被定位到一个名叫nvMultitask.exe的释放器上，当用户在&a href=&http://link.zhihu.com/?target=http%3A//www.skycn.net/& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://www.&/span&&span class=&visible&&skycn.net/&/span&&span class=&invisible&&&/span&&/a&和&a href=&http://link.zhihu.com/?target=http%3A//soft.hao123.com/& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&soft.hao123.com/&/span&&span class=&invisible&&&/span&&/a&这两个下载站下载任何软件时，都会被捆绑下载该释放器，进而向用户电脑植入这些可疑文件。需要强调的是，下载器运行后会立即在后台静默释放和执行释放器nvMultitask.exe，植入恶意代码，即使用户不做任何操作直接关闭下载器，恶意代码也会被植入。&/p&&p&&br&
根据分析和溯源，最迟到2016年9月，这些恶意代码即被制作完成。而操纵流量劫持的“远程开关”于近期被开启，被感染的电脑会被按照区域和时段等条件，或者是随机地被“选择”出来，进行流量劫持——安全业界称之为“云控劫持”。&br&&br&&br&&figure&&img src=&https://pic4.zhimg.com/v2-78ca677cca6dba715fc61db_b.png& data-rawwidth=&510& data-rawheight=&258& class=&origin_image zh-lightbox-thumb& width=&510& data-original=&https://pic4.zhimg.com/v2-78ca677cca6dba715fc61db_r.jpg&&&/figure&&br&&br&
图 1、下载器向用户计算机植入恶意代码&/p&&p&&br&
被植入的恶意代码没有正常的用户卸载功能，也没有常规启动项，电脑每次开机时都会启动和更新恶意代码，恶意代码接收C&C服务器指令，行为受云端控制，并且会通过加载驱动，保护相关的注册表和文件不被删除。&/p&&p&&br&
因此，这些植入恶意代码的用户电脑成为长期被远程控制的“肉鸡”。&/p&&p&&br&该恶意代码被远程启动后，会劫持各种互联网流量，用户的浏览器、首页、导航站都会被劫持，将流量输送给hao123导航站。同时，还会篡改电商网站、网站联盟广告等链接，用以获取这些网站的流量收入分成（详情在本报告第二章）。&br&
综上所述，该恶意代码本身以及通过下载器植入用户电脑的行为，同时符合安全行业通行的若干个恶意代码定义标准，因此，火绒将这一恶意代码家族命名为“Rogue/NetReaper”（中文名：流量收割者）。升级到“火绒安全软件”最新版本，即可全面查杀、清除该类恶意代码。&br&&figure&&img src=&https://pic4.zhimg.com/v2-53d212e6c25cf1b21b06ca97_b.png& data-rawwidth=&800& data-rawheight=&515& class=&origin_image zh-lightbox-thumb& width=&800& data-original=&https://pic4.zhimg.com/v2-53d212e6c25cf1b21b06ca97_r.jpg&&&/figure&&br&&br&
图2、火绒安全软件检测结果&br&&br&火绒安全软件4.0下载地址：&br&&a href=&http://link.zhihu.com/?target=http%3A//www.huorong.cn/downv4.html& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://www.&/span&&span class=&visible&&huorong.cn/downv4.html&/span&&span class=&invisible&&&/span&&/a&&br&火绒专杀工具下载地址：&br&&a href=&http://link.zhihu.com/?target=http%3A//huorong.cn/download/tools/hrkill-v1.0.0.10.exe& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&huorong.cn/download/too&/span&&span class=&invisible&&ls/hrkill-v1.0.0.10.exe&/span&&span class=&ellipsis&&&/span&&/a&&br&&br&&/p&&h2&二、
主要劫持行为描述&/h2&&br&
用户在这两个下载站下载软件后，电脑即被植入“Rogue/NetReaper”恶意代码，在长期的潜伏期过程中，电脑可能发生如下流量劫持情况（按地域和时间等因素云控劫持，或者随机劫持）：&br&
1.导航站劫持：当用户访问其他导航站时，会被劫持到百度hao123导航站。&br&
包括360、QQ、2345、搜狗、猎豹、114la、瑞星……等导航站都会被劫持，劫持后的hao123网址带有百度联盟的推广计费名。&p&&figure&&img src=&https://pic4.zhimg.com/v2-50f2b5a76e6cc67def3b_b.png& data-rawwidth=&569& data-rawheight=&169& class=&origin_image zh-lightbox-thumb& width=&569& data-original=&https://pic4.zhimg.com/v2-50f2b5a76e6cc67def3b_r.jpg&&&/figure&
图3、常见导航站被直接为hao123&br&&/p&&p&&br&
2.首页劫持：把用户电脑首页修改为hao123导航站。&br&
使用IE浏览器的用户，其首页被修改为hao123导航站，并通过百度联盟计费名统计流量。&br&&br&
3.浏览器劫持：360浏览器替换成IE浏览器或者假IE浏览器。&br&
当发现用户使用360安全浏览器或360极速浏览器时，默认浏览器被修改为IE浏览器，或者修改为假IE浏览器，以躲避安全软件的浏览器保护。无论 怎样，被替换后首页都会变成hao123导航站，并通过百度联盟计费名统计流量。&br&&br&
4.网盟广告劫持：将百度网盟其他渠道计费名换成渠道商猎豹（金山毒霸）。&br&&br&
百度网盟有许多渠道商，这些渠道商都将流量售卖给百度网盟，这个劫持行为是将其他渠道商的推广计费名换成金山的，这样的话，本来应该属于其他渠道的百度网盟推广费用，就被猎豹获得，猎豹再向恶意代码制作者分钱。&br&&br&&br&&figure&&img src=&https://pic3.zhimg.com/v2-bd979cefcb46ed20eddf6a_b.png& data-rawwidth=&571& data-rawheight=&149& class=&origin_image zh-lightbox-thumb& width=&571& data-original=&https://pic3.zhimg.com/v2-bd979cefcb46ed20eddf6a_r.jpg&&&/figure&&br&
图 4、替换百度网盟广告&/p&&p&&br&
5.电商流量劫持：使用IE浏览器访问京东等电商网站时，先跳转到电商导流网站站，然后再跳转回该电商网站。&br&
先跳转到电商导流网站妖猴网（&a href=&http://link.zhihu.com/?target=http%3A//www.xmonkey.com/& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://www.&/span&&span class=&visible&&xmonkey.com/&/span&&span class=&invisible&&&/span&&/a&），再返回原购物网站之后，电商网站链接就加上了妖猴网的计费名，电商网站就会按照流量向妖猴网支付推广费用，妖猴网再向恶意代码制作者分钱。&br&&br&&br&&figure&&img src=&https://pic1.zhimg.com/v2-e415d1aecc1d7dfaf5206c_b.png& data-rawwidth=&561& data-rawheight=&771& class=&origin_image zh-lightbox-thumb& width=&561& data-original=&https://pic1.zhimg.com/v2-e415d1aecc1d7dfaf5206c_r.jpg&&&/figure&图 5、访问电商网站时会跳转到电商导流网站&br&&/p&&br&&h2&三、概要分析&/h2&&br&
执行任意从&a href=&http://link.zhihu.com/?target=http%3A//soft.hao123.com/& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&soft.hao123.com/&/span&&span class=&invisible&&&/span&&/a&下载到的下载器，不需要进行任何操作，恶意代码就会植入用户计算机。使用火绒剑可以监控植入恶意代码的整个过程，如下图： &br&&br&&br&&figure&&img src=&https://pic4.zhimg.com/v2-8c73a1dde9d0c1db3febd8f18a117027_b.png& data-rawwidth=&701& data-rawheight=&1078& class=&origin_image zh-lightbox-thumb& width=&701& data-original=&https://pic4.zhimg.com/v2-8c73a1dde9d0c1db3febd8f18a117027_r.jpg&&&/figure&&br&
图 6、恶意代码首次植入用户计算机流程&p&&br&&b&
恶意代码首次植入用户计算机流程：&/b&&br&&br&
1.下载器执行释放的nvMultitask.exe。目前下载器包含的nvMultitask.exe是0.2.0.1版本，该版本仅会在用户计算机上植入部分恶意代码，如下：&br&&br&&br&
3.2.0.1版的HSoftDoloEx.exe&br&
1.7.0.1版的bime.dll&br&
0.4.0.130 版的LcScience.sys&br&
0.5.30.70 版的WaNdFilter.sys&br&
1.0.0.1020版的npjuziplugin.dll&br&&br&&/p&&p&
2.植入恶意代码成功后nvMultitask.exe使用命令行参数“-inject=install”执行HSoftDoloEx.exe&br&&br&
3.启动的HSoftDoloEx.exe链接C&C服务器(&a href=&http://link.zhihu.com/?target=http%3A//update.123juzi.net/update.php& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&update.123juzi.net/upda&/span&&span class=&invisible&&te.php&/span&&span class=&ellipsis&&&/span&&/a&)进行更新，更新的恶意组件将在下次计算机启动后被激活&br&&br&&b&
每次计算机重启，恶意代码都会启动和检查更新：&/b&&br&
经过几次更新之后，nvMultitask.exe的会升级到当前最新版本3.2.0.4，后续分析将会以这个版本展开。&br&&br&
最新版本的恶意组件在用户每次开机后都会执行以下流程：&br&&br&1.LcScience.sys注册进程和映像加载回调将bime.dll分别注入services.exe、explorer.exe、iexplore.exe和其他第三方浏览器进程。&br&&br&2.注入services.exe中的bime.dll负责启动HSoftDoloEx.exe&br&
1)HSoftDoloEx.exe链接C&C服务器(&a href=&http://link.zhihu.com/?target=http%3A//update.123juzi.net/update.php& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&update.123juzi.net/upda&/span&&span class=&invisible&&te.php&/span&&span class=&ellipsis&&&/span&&/a&)检测更新。&br&
2)HSoftDoloEx.exe链接C&C服务器(&a href=&http://link.zhihu.com/?target=http%3A//update.qyllq.com/getupfs2.php& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&update.qyllq.com/getupf&/span&&span class=&invisible&&s2.php&/span&&span class=&ellipsis&&&/span&&/a&)，获取流量劫持指令。（后续章节进行详细分析）&br&&br&3.注入explorer.exe中的bime.dll负责在执行5分钟后链接C&C服务器(&a href=&http://link.zhihu.com/?target=http%3A//update.123juzi.net/ccl.php& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&update.123juzi.net/ccl.&/span&&span class=&invisible&&php&/span&&span class=&ellipsis&&&/span&&/a&)下载并加载恶意代码svcprotect.dat到explorer.exe。&br&&br&4.svcprotect.dat（1.0.0.11）加载后释放两个全新的流量劫持模块：&br&
1)5.0.0.1版的iexplorer_helper.dat&br&
2)1.5.9.1098版的iexplore.exe&br&&br&&figure&&img src=&https://pic2.zhimg.com/v2-ae2b7f6a0f542651fea9_b.png& data-rawwidth=&702& data-rawheight=&516& class=&origin_image zh-lightbox-thumb& width=&702& data-original=&https://pic2.zhimg.com/v2-ae2b7f6a0f542651fea9_r.jpg&&&/figure&&br&
图 7、恶意代码植入用户计算机流程&br&&br&&/p&&p&1.5.9.1098版的iexplore.exe是一个伪装系统名称的假IE浏览器，我们把这个文件上传到VirusTotal后发现，很多安全软件检测此文件是病毒，如图：&br&&/p&&p&&br&&figure&&img src=&https://pic2.zhimg.com/v2-bc65e6211deaa15f9681b1_b.png& data-rawwidth=&1002& data-rawheight=&1307& class=&origin_image zh-lightbox-thumb& width=&1002& data-original=&https://pic2.zhimg.com/v2-bc65e6211deaa15f9681b1_r.jpg&&&/figure&&br&
图 8、Virustotal检测的结果&br&&figure&&img src=&https://pic3.zhimg.com/v2-f6bd0a9dcd81df8e599aa_b.png& data-rawwidth=&1256& data-rawheight=&674& class=&origin_image zh-lightbox-thumb& width=&1256& data-original=&https://pic3.zhimg.com/v2-f6bd0a9dcd81df8e599aa_r.jpg&&&/figure&&br&
图 9、恶意代码包含百度签名&/p&&p&&br&&b&
最终在用户计算机中所有包含恶意代码的文件如下：&/b&&br&&br&&/p&&br&&figure&&img src=&https://pic3.zhimg.com/v2-90fd5b7efa4ea_b.png& data-rawwidth=&614& data-rawheight=&531& class=&origin_image zh-lightbox-thumb& width=&614& data-original=&https://pic3.zhimg.com/v2-90fd5b7efa4ea_r.jpg&&&/figure&&br&&br&&h2&四、
详细分析&/h2&&br&1.
启动、保护和更新模块分析&br&&br&1.1
恶意代码有两个重要的启动模块HSoftDoloEx.exe和bime.dll。这两个文件是整组恶意代码的关键项，驱动文件LcScience.sys负责每次开机启动它们。&br&
LcScience.sys（0.4.0.130）注册映像加载通知，排队一个工作例程，如下图：&br&&br&&br&&figure&&img src=&https://pic1.zhimg.com/v2-f41e109c674d32b035a69a_b.png& data-rawwidth=&698& data-rawheight=&410& class=&origin_image zh-lightbox-thumb& width=&698& data-original=&https://pic1.zhimg.com/v2-f41e109c674d32b035a69a_r.jpg&&&/figure&
图 10、排队注入例程&p&&br&
该工作例程会判断启动进程是否需要注入，完整的注入列表如下：&br&&br&&/p&&br&&figure&&img src=&https://pic2.zhimg.com/v2-70ff1f9ddc50fe15d14e01_b.png& data-rawwidth=&471& data-rawheight=&79& class=&origin_image zh-lightbox-thumb& width=&471& data-original=&https://pic2.zhimg.com/v2-70ff1f9ddc50fe15d14e01_r.jpg&&&/figure&&p&&br&
如果满足注入条件，就会注入bime.dll（1.7.0.5）到指定进程。LcScience.sys实现了两种注入方式：一种通过patch系统动态库ntdll.dll的入口将动态库bime.dll注入到制定进程；另一种则是通过patch系统动态库ntdll.dll的NtTestAlert函数实现注入bime.dll到指定进程，相关代码如下图：&br&&br&&br&&figure&&img src=&https://pic2.zhimg.com/v2-8d84fd0decebe3a689619fee4cfd4d99_b.png& data-rawwidth=&554& data-rawheight=&181& class=&origin_image zh-lightbox-thumb& width=&554& data-original=&https://pic2.zhimg.com/v2-8d84fd0decebe3a689619fee4cfd4d99_r.jpg&&&/figure&
图 11、选择注入方式&/p&&p&&br&
bime.dll（1.7.0.5）注入到services.exe、explorer.exe、iexplorer.exe和其他浏览器进程后，会根据宿主进程名称不同，会执行不一样的流程。&br&&br&
注入到services.exe系统进程bime.dll，在系统开机运行services.exe后，以&-inject=start&参数执行HSoftDoloEx.exe。在explorer.exe中的bime.dll（1.7.0.5）也会随着“桌面”程序的启动，一同被激活。bime.dll还会随着用户启动的浏览器一并启动，如下图：&br&&br&&br&&figure&&img src=&https://pic4.zhimg.com/v2-3cc52ccb46b5b_b.png& data-rawwidth=&706& data-rawheight=&253& class=&origin_image zh-lightbox-thumb& width=&706& data-original=&https://pic4.zhimg.com/v2-3cc52ccb46b5b_r.jpg&&&/figure&&br&图 12、恶意代码启动流程图&/p&&p&&br&1.2
WaNdFilter.sys（0.5.30.70）同LcScience.sys（0.4.0.130）都使用了注册表回调保护自己的注册表启动项不被删除，除此以外WaNdFilter.sys（0.5.30.70）还有两个保护点，如下图所示：&br&&br&&figure&&img src=&https://pic2.zhimg.com/v2-9374fb4ded3f5df6e72d9_b.png& data-rawwidth=&711& data-rawheight=&806& class=&origin_image zh-lightbox-thumb& width=&711& data-original=&https://pic2.zhimg.com/v2-9374fb4ded3f5df6e72d9_r.jpg&&&/figure&图 13、文件保护逻辑&/p&&p&&br&
图中标明file_needs_protect_1 函数负责保护“WaNdFilter.sys”、“LcScience.sys”和“MsVwmlbkgn.sys”这几个文件不被删除，标明file_needs_protect_2 函数会阻止特定进程不能访问恶意代码指定的文件列表。&br&
WaNdFilter.sys阻止的特定进程如下表：&br&&br&&figure&&img src=&https://pic3.zhimg.com/v2-2cebbe87adbd8a_b.png& data-rawwidth=&474& data-rawheight=&79& class=&origin_image zh-lightbox-thumb& width=&474& data-original=&https://pic3.zhimg.com/v2-2cebbe87adbd8a_r.jpg&&&/figure&&br&
恶意代码指定的文件列表的在我们的实验环境中并未得到。&/p&&p&&br&&br&1.3
更新&/p&&p&&br&
不同版本nvMultitask.exe释放的恶意代码在功能上存在差异。本文分析的是当前最新版本3.2.0.4。每次计算机重启恶意代码都会执行更新，升级到最新版本需要经过以下流程。&br&
1）开机后执行HSoftDoloEx.exe，HSoftDoloEx.exe会向服务器&a href=&http://link.zhihu.com/?target=http%3A//update.123juzi.net/update.php& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&update.123juzi.net/upda&/span&&span class=&invisible&&te.php&/span&&span class=&ellipsis&&&/span&&/a&发送升级请求，每次请求返回的都不是最新版本，一般来说从下载器自带的0.2.0.1版本需要至少重启三次计算机 ，才可以更新到3.2.0.4版本。&br&&br&&br&&br&&figure&&img src=&https://pic2.zhimg.com/v2-eda2cc08d1b3af745aa49212be44debd_b.png& data-rawwidth=&700& data-rawheight=&220& class=&origin_image zh-lightbox-thumb& width=&700& data-original=&https://pic2.zhimg.com/v2-eda2cc08d1b3af745aa49212be44debd_r.jpg&&&/figure&图 14、恶意代码释放器升级流程&br&&br&&/p&&p&
2）除了HSoftDoloEx.exe会向服务器发送请求更新以外，3.2.0.4版的nvMultitask.exe中包含的1.7.0.5版的bime.dll ，会在注入系统进程Explorer.exe之后，也会向服务器&a href=&http://link.zhihu.com/?target=http%3A//update.123juzi.net/ccl.php& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&update.123juzi.net/ccl.&/span&&span class=&invisible&&php&/span&&span class=&ellipsis&&&/span&&/a&发送请求。 &br&&br&
3）请求得到的数据是一段Base64编码后的字符串，解码后可以得到win_32_1.0.0.11.dat的下载地址后开始下载。这是一个新出现的恶意代码。&br&&br&&/p&&p&
4）win_32_1.0.0.11.dat是加密的32位版本的svcprotect.dat（1.0.0.11）。&br&&br&
5）bime.dll解密后调用svcprotect.dat名为“Run”的导出函数，释放恶意代码“iexplorer_helper.dat” （5.0.0.1）&br&&br&
6）svcprotect.dat还会检查当前系统中是否存在“C:\ProgramData\userdata\data.dat”这个文件，如果不存在或者该文件最后写入时间距今相差30天以上，svcprotect.dat就会在“%HOMEPATH%\AppData\Roaming\{ED6E-48E3-98B5-FC68}”目录中释放假iexplore.exe（1.5.9.1098）。“C:\ProgramData\userdata\data.dat”是一个0字节文件，会在svcprotect.dat第一次释放iexplore.exe后被svcprotect.dat创建。&br&svcprotect.dat释放的文件都包含在它的PE资源中，如图：&br&&br&&br&&br&&figure&&img src=&https://pic1.zhimg.com/v2-fdf25f2d27c8ef86a2d1f0d86c5fc974_b.png& data-rawwidth=&436& data-rawheight=&582& class=&origin_image zh-lightbox-thumb& width=&436& data-original=&https://pic1.zhimg.com/v2-fdf25f2d27c8ef86a2d1f0d86c5fc974_r.jpg&&&/figure&图 15、svcprotect.dat中包含的二进制资源&/p&&p&&br&
FILE_对应iexplore.exe（1.5.9.1098），FILE_对应iexplorer_helper.dat（5.0.0.1）。至此所有恶意代码已经全部植入用户计算机了。&br&&br&
如果升级服务器不返回请求数据（此处由云端控制），也可以在安装了nvMultitask.exe 0.2.0.1版本计算机上，直接运行nvMultitask_3.2.0.4.exe的安装包（MD5: 4bfa2fa7d6），同样会更新到最新版的恶意代码。但是会缺少两个关键组件iexplorer_helper.dat（5.0.0.1）和svcprotect.dat（1.0.0.11）。&br&&br&HSoftDoloEx.exe和C&C服务器通信的请求升级流程如下表：&br&&br&&br&&figure&&img src=&https://pic4.zhimg.com/v2-045fcb70a0e70a9fb2095c7_b.png& data-rawwidth=&700& data-rawheight=&798& class=&origin_image zh-lightbox-thumb& width=&700& data-original=&https://pic4.zhimg.com/v2-045fcb70a0e70a9fb2095c7_r.jpg&&&/figure&图 16、HsoftDoloEx和C&C服务通信流程&br&&br&&figure&&img src=&https://pic3.zhimg.com/v2-20fa859bf6_b.png& data-rawwidth=&700& data-rawheight=&76& class=&origin_image zh-lightbox-thumb& width=&700& data-original=&https://pic3.zhimg.com/v2-20fa859bf6_r.jpg&&&/figure&图 17、C&C服务器返回的base64解码后数据2.
用户态流量劫持模块 &/p&&p&&br&
bime.dll会被注入到explorer.exe进程，在其等待5分钟之后会加载恶意模块svcprotect.dat。svcprotect.dat会释放另一个恶意模块iexplorer_helper.dat和一个假iexplore.exe，二者分别实现不同流量劫持功能：&br&&br&
1）针对用户浏览器首页的劫持：&br&
在Explorer.exe中的svcprotect.dat Hook了的CreateProcessW劫持浏览器首页流量，此外svcprotect.dat还会直接启动假iexplore.exe替换用户运行的浏览器完成首页劫持。&br&&br&
2）针对用户访问购物网站做流量劫持：&br&
svcprotect.dat释放的出来的iexplorer_helper.dat会针对系统IE浏览器劫持某购物网站流量。&br&&br&&b&
负责用户态流量劫持的模块列表：&/b&&br&&br&&/p&&br&&figure&&img src=&https://pic1.zhimg.com/v2-e6fb868ea3dd5d382f6bd8_b.png& data-rawwidth=&527& data-rawheight=&156& class=&origin_image zh-lightbox-thumb& width=&527& data-original=&https://pic1.zhimg.com/v2-e6fb868ea3dd5d382f6bd8_r.jpg&&&/figure&&br&&p&&br&&b&
负责用户态流量劫持的C&C服务器：&/b&&br&&br&&figure&&img src=&https://pic1.zhimg.com/v2-81db66f095d90fa016c88548_b.png& data-rawwidth=&278& data-rawheight=&108& class=&content_image& width=&278&&&/figure&&br&&br&2.1
svcprotect.dat劫持模块分析&/p&&p&&br&
加载到explorer.exe中的svcprotect.dat会向服务器&a href=&http://link.zhihu.com/?target=http%3A//update.123juzi.net/getupfs2.php& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&update.123juzi.net/getu&/span&&span class=&invisible&&pfs2.php&/span&&span class=&ellipsis&&&/span&&/a&发送请求获取控制指令。&br&&br&&b&
svcprotect.dat和C&C服务器通信流程如下表：&br&&/b&&br&&br&&figure&&img src=&https://pic4.zhimg.com/v2-eb95d7c4bc833d6c6d4115b_b.png& data-rawwidth=&700& data-rawheight=&227& class=&origin_image zh-lightbox-thumb& width=&700& data-original=&https://pic4.zhimg.com/v2-eb95d7c4bc833d6c6d4115b_r.jpg&&&/figure&&br&图 18、svcprotect.dat和C&C服务器通信流程&br&&br&&figure&&img src=&https://pic4.zhimg.com/v2-37d501ec1ca49c2dcbc1ab7_b.png& data-rawwidth=&700& data-rawheight=&219& class=&origin_image zh-lightbox-thumb& width=&700& data-original=&https://pic4.zhimg.com/v2-37d501ec1ca49c2dcbc1ab7_r.jpg&&&/figure&&br&&br&图 19、解码服务器返回的数据为二进制格式&br&&br&&figure&&img src=&https://pic4.zhimg.com/v2-070facb05efb67e3cc95f_b.png& data-rawwidth=&700& data-rawheight=&672& class=&origin_image zh-lightbox-thumb& width=&700& data-original=&https://pic4.zhimg.com/v2-070facb05efb67e3cc95f_r.jpg&&&/figure&&br&&br&图 20、通过XOR 0x29得到的JSON格式的控制指令&br&&br&&figure&&img src=&https://pic2.zhimg.com/v2-5075396eda6ba07c2edf1ce31496bbbd_b.png& data-rawwidth=&700& data-rawheight=&168& class=&origin_image zh-lightbox-thumb& width=&700& data-original=&https://pic2.zhimg.com/v2-5075396eda6ba07c2edf1ce31496bbbd_r.jpg&&&/figure&&br&&br&图 21、控制指令的完整列表&br&&b&
通过C&C服务器得到的JSON各键名含义：&/b&&br&&br&&figure&&img src=&https://pic4.zhimg.com/v2-f0abf40e0fb_b.png& data-rawwidth=&347& data-rawheight=&264& class=&content_image& width=&347&&&/figure&&br&
svcprotect.dat根据接收到的云控指令，判断用户启动的浏览器是否匹配劫持条件，如果匹配则会选择对应的劫持方法。其流量劫持的手法一共分为三种：&/p&&p&&br&
1）将用户启动的浏览器劫持为假IE：&br&在用户双击浏览器快捷方式（包括带网址参数和不带网址参数两种）或者通过explorer直接启动浏览器时（当前只劫持通过“Win+R”方式启动的浏览器，直接启动浏览器的可执行文件不会被劫持），只要配置文件中对应的概率命中，就会将当前启动浏览器替换为假IE。当然这样的劫持手法过于明显，很容易引起用户警觉，所以劫持为假IE的概率很低。&br&&br&&br&&figure&&img src=&https://pic3.zhimg.com/v2-6e8892920baa8e8aa47c94d05ded07c2_b.png& data-rawwidth=&1539& data-rawheight=&716& class=&origin_image zh-lightbox-thumb& width=&1539& data-original=&https://pic3.zhimg.com/v2-6e8892920baa8e8aa47c94d05ded07c2_r.jpg&&&/figure&图 22、假IE访问其默认首页&/p&&p&&br&
2）劫持浏览器的命令行启动参数：&br&在用户启动无命令行参数的浏览器快捷方式时，如果配置文件中对应的概率命中，则会添加带有自己计费号的百度搜索网址参数，如果启动的浏览器是系统IE，劫持网址就是带有计费号的hao123链接。针对360安全浏览器和360极速浏览器这种当启动参数为其他导航站时，就会跳转到&a href=&http://link.zhihu.com/?target=http%3A//hao.360.cn/& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&hao.360.cn/&/span&&span class=&invisible&&&/span&&/a&的浏览器，劫持网址就是带有计费号的百度搜索链接。 &br&&br&&figure&&img src=&https://pic1.zhimg.com/v2-5ea18bf925ba_b.png& data-rawwidth=&1170& data-rawheight=&728& class=&origin_image zh-lightbox-thumb& width=&1170& data-original=&https://pic1.zhimg.com/v2-5ea18bf925ba_r.jpg&&&/figure&图 23、劫持浏览器参数&/p&&br&&p&3） 将启动的第三方浏览器替换为系统IE：&/p&&p&&br&
用户双击浏览器快捷方式（包括带网址参数和不带网址参数两种）或者通过explorer.exe直接启动时，如果“per”键值中的概率没有命中，则会继续使用“perie”键值中的概率进行第二次随机。如果命中第三方浏览器替换为系统IE。这种手法主要用于当第三方浏览器启动参数为hao123导航时，为了保住这些流量不会因为使用其他第三方浏览器而跳转到其他导航站（如：&a href=&http://link.zhihu.com/?target=http%3A//hao.360.cn/& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&hao.360.cn/&/span&&span class=&invisible&&&/span&&/a&），所以将第三方浏览器替换为系统IE，从而保护其固有流量。&br&&br&&figure&&img src=&https://pic1.zhimg.com/v2-317ea370daab3c_b.png& data-rawwidth=&658& data-rawheight=&405& class=&origin_image zh-lightbox-thumb& width=&658& data-original=&https://pic1.zhimg.com/v2-317ea370daab3c_r.jpg&&&/figure&&br&图 24、劫持逻辑流程图&/p&&p&&br&&b&
svcprotect.dat 释放的假IE &/b&&/p&&p&&br&
因为当360安全浏览器和360极速浏览器的启动参数为&a href=&http://link.zhihu.com/?target=http%3A//www.hao123.com/& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://www.&/span&&span class=&visible&&hao123.com/&/span&&span class=&invisible&&&/span&&/a&时，会默认打开&a href=&http://link.zhihu.com/?target=http%3A//hao.360.cn/& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&hao.360.cn/&/span&&span class=&invisible&&&/span&&/a&，所以为了更加彻底地劫持流量，svcprotect.dat中的恶意代码会将这两款浏览器替换为假IE，从而达到其劫持目的。除了启动后会默认打开hao123导航外，当假IE的启动参数为百度搜索时，其实际使用的计费号依然为自己的计费号（如下图，在访问网址时我们可以看到上述网址在浏览器标题栏中一闪而过）。&br&&figure&&img src=&https://pic1.zhimg.com/v2-637d1da09aa713bfceefb3786ddc5ed0_b.png& data-rawwidth=&975& data-rawheight=&636& class=&origin_image zh-lightbox-thumb& width=&975& data-original=&https://pic1.zhimg.com/v2-637d1da09aa713bfceefb3786ddc5ed0_r.jpg&&&/figure&图 25、假IE访问百度搜索&br&&br&&br&2.2
iexplorer_helper.dat劫持模块分析&/p&&p&&br&
注入浏览器的bime.dll会加载iexplorer_helper.dat组件，调用iexplorer_helper.dat动态库的&Run&导出函数后执行以下操作：&br&
1）启动rundll32.exe，加载iexplorer_helper.dat，调用参数为Init&br&&br&&figure&&img src=&https://pic2.zhimg.com/v2-42f2f0d8f5aa36f0486d_b.png& data-rawwidth=&556& data-rawheight=&526& class=&origin_image zh-lightbox-thumb& width=&556& data-original=&https://pic2.zhimg.com/v2-42f2f0d8f5aa36f0486d_r.jpg&&&/figure&图 26、rundll32.exe启动的iexplorer_helper.dat&/p&&p&&br&
2）向C&C服务器发送获取控制指令，一共发送三个请求：&br&
a)请求&a href=&http://link.zhihu.com/?target=http%3A//update.qyllq.net/test_json.php& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&update.qyllq.net/test_j&/span&&span class=&invisible&&son.php&/span&&span class=&ellipsis&&&/span&&/a&获取的云控指令，我们命名为hijack_cmd1。&br&
b)请求&a href=&http://link.zhihu.com/?target=http%3A//api.qyllq.com/url_loc.php& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&api.qyllq.com/url_loc.p&/span&&span class=&invisible&&hp&/span&&span class=&ellipsis&&&/span&&/a&获取云控指令，我们命名为hijack_cmd2。&br&
c)请求&a href=&http://link.zhihu.com/?target=http%3A//update.qyllq.com/tnpp.php& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&update.qyllq.com/tnpp.p&/span&&span class=&invisible&&hp&/span&&span class=&ellipsis&&&/span&&/a&获取云控指令，我们命名为hijack_cmd3。&br&&br&&figure&&img src=&https://pic3.zhimg.com/v2-ee4fb0cf11a_b.png& data-rawwidth=&819& data-rawheight=&478& class=&origin_image zh-lightbox-thumb& width=&819& data-original=&https://pic3.zhimg.com/v2-ee4fb0cf11a_r.jpg&&&/figure&&br&&br&图 27、iexplorer_helper.dat和C&C服务器通信&br&
iexplorer_helper.dat和C&C服务器通信流程如下表：&br&&br&&figure&&img src=&https://pic1.zhimg.com/v2-a4b4bfbf3c44cf4_b.png& data-rawwidth=&700& data-rawheight=&239& class=&origin_image zh-lightbox-thumb& width=&700& data-original=&https://pic1.zhimg.com/v2-a4b4bfbf3c44cf4_r.jpg&&&/figure&&br&图 28、iexplorer_helper.dat和C&C服务器通信流程&br&&br&&figure&&img src=&https://pic1.zhimg.com/v2-95c9f16ac0b829dcea40_b.png& data-rawwidth=&700& data-rawheight=&189& class=&origin_image zh-lightbox-thumb& width=&700& data-original=&https://pic1.zhimg.com/v2-95c9f16ac0b829dcea40_r.jpg&&&/figure&&br&图 29、解码服务器返回的数据为二进制格式&br&&br&&figure&&img src=&https://pic3.zhimg.com/v2-a87f1c6af8cb66a2e92be_b.png& data-rawwidth=&700& data-rawheight=&560& class=&origin_image zh-lightbox-thumb& width=&700& data-original=&https://pic3.zhimg.com/v2-a87f1c6af8cb66a2e92be_r.jpg&&&/figure&&br&图 30、通过XOR 0x9C得到的JSON格式的控制指令&br&&br&&figure&&img src=&https://pic1.zhimg.com/v2-17b234b2be48e01e9e53ee4_b.png& data-rawwidth=&700& data-rawheight=&1301& class=&origin_image zh-lightbox-thumb& width=&700& data-original=&https://pic1.zhimg.com/v2-17b234b2be48e01e9e53ee4_r.jpg&&&/figure&&br&图 31、控制指令的完整列表&br&&br&&figure&&img src=&https://pic2.zhimg.com/v2-16f687afdc18fb08d07e6a9_b.png& data-rawwidth=&700& data-rawheight=&323& class=&origin_image zh-lightbox-thumb& width=&700& data-original=&https://pic2.zhimg.com/v2-16f687afdc18fb08d07e6a9_r.jpg&&&/figure&&br&图 32、iexplorer_helper.dat和C&C服务器通信流程&br&&br&&figure&&img src=&https://pic3.zhimg.com/v2-b79ac7f28c407b2ae64ba_b.png& data-rawwidth=&700& data-rawheight=&171& class=&origin_image zh-lightbox-thumb& width=&700& data-original=&https://pic3.zhimg.com/v2-b79ac7f28c407b2ae64ba_r.jpg&&&/figure&&br&图 33、解码服务器返回的数据为二进制格式&br&&br&&figure&&img src=&https://pic2.zhimg.com/v2-3d3ca60ea9e63df22b69ed65_b.png& data-rawwidth=&700& data-rawheight=&399& class=&origin_image zh-lightbox-thumb& width=&700& data-original=&https://pic2.zhimg.com/v2-3d3ca60ea9e63df22b69ed65_r.jpg&&&/figure&&br&图 34、通过XOR 0x9C得到的JSON格式的控制指令&br&&br&&figure&&img src=&https://pic2.zhimg.com/v2-1cec8026b73cff8cb18d7d13e746a8c9_b.png& data-rawwidth=&700& data-rawheight=&399& class=&origin_image zh-lightbox-thumb& width=&700& data-original=&https://pic2.zhimg.com/v2-1cec8026b73cff8cb18d7d13e746a8c9_r.jpg&&&/figure&&br&图 35、控制指令的完整列表&br&&br&&figure&&img src=&https://pic2.zhimg.com/v2-13ac798f76b7a769c59cc6ac8030a35d_b.png& data-rawwidth=&700& data-rawheight=&173& class=&origin_image zh-lightbox-thumb& width=&700& data-original=&https://pic2.zhimg.com/v2-13ac798f76b7a769c59cc6ac8030a35d_r.jpg&&&/figure&&br&图 36、iexplorer_helper.dat和C&C服务器通信流程&br&&figure&&img src=&https://pic1.zhimg.com/v2-664b99a8a39b2e47f1d4_b.png& data-rawwidth=&700& data-rawheight=&105& class=&origin_image zh-lightbox-thumb& width=&700& data-original=&https://pic1.zhimg.com/v2-664b99a8a39b2e47f1d4_r.jpg&&&/figure&&br&图 37、通过XOR 0x9C得到的JSON格式的控制指令&/p&&p&&br&
hijack_cmd3没有请求后没有得到对应数据，但是会保存从服务器请求到的base64编码指令到%HOMEPATH%\AppData\Local\ProgramData\iehlp.dat。其余两组的指令保存在内存没有在本地保存，对应的含义如下：&br&&br&通过C&C服务器得到hijack_cmd1的JSON各键名含义：&br&&br&&figure&&img src=&https://pic4.zhimg.com/v2-5da335ddeb803f6606aec2f_b.png& data-rawwidth=&349& data-rawheight=&197& class=&content_image& width=&349&&&/figure&&br&
通过C&C服务器得到hijack_cmd2的JSON各键名含义: &br&&br&&figure&&img src=&https://pic4.zhimg.com/v2-9c7fb722f3c23d90ca5b_b.png& data-rawwidth=&381& data-rawheight=&239& class=&content_image& width=&381&&&/figure&&br&
每个浏览器都会加载中iexplorer_helper.dat启动rundll32.exe执行iexplorer_helper.dat的Init函数。但是如果启动的进程是iexplorer.exe。注入iexplorer_helper.dat会和rundll32.exe进程通信，将IE地址栏的访问地址劫持交给rundll32.exe进行分析，如果满足劫持条件跳转网址发送给iexplorer。进行劫持。&br&&br&&br&&figure&&img src=&https://pic1.zhimg.com/v2-361c1cc3fe0f3f8a3198_b.png& data-rawwidth=&650& data-rawheight=&365& class=&origin_image zh-lightbox-thumb& width=&650& data-original=&https://pic1.zhimg.com/v2-361c1cc3fe0f3f8a3198_r.jpg&&&/figure&&br&图 38、进程通讯流程图&br&&br&&figure&&img src=&https://pic2.zhimg.com/v2-13ac798f76b7a769c59cc6ac8030a35d_b.png& data-rawwidth=&700& data-rawheight=&173& class=&origin_image zh-lightbox-thumb& width=&700& data-original=&https://pic2.zhimg.com/v2-13ac798f76b7a769c59cc6ac8030a35d_r.jpg&&&/figure&&br&图 39、劫持&a href=&http://link.zhihu.com/?target=http%3A//jd.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&jd.com&/span&&span class=&invisible&&&/span&&/a&添加推广号 &/p&&br&&p& 3）内核态流量劫持模块&br&
HSoftDoloEx.exe接收C&C服务器云控指令发送给MsVwmlbkgn.sys进行HTTP收发包的流量劫持。从C&C服务器接收到的云控指令包含了普通导航站的劫持和百度网盟广告的劫持。&br&
在x64系统zethelpEx64.exe(3.2.0.3)负责发送云控指令给MsVwmlbkgn.sys。&br&&b&
内核态负责流量劫持的模块列表：&br&&/b&&br&&figure&&img src=&https://pic3.zhimg.com/v2-a5ccd18d6d5fae_b.png& data-rawwidth=&401& data-rawheight=&101& class=&content_image& width=&401&&&/figure&&br&&b&
内核态负责流量劫持的云控指令文件:&/b&&br&&br&&figure&&img src=&https://pic4.zhimg.com/v2-12b355bb2e1d33e1aab39d_b.png& data-rawwidth=&406& data-rawheight=&96& class=&content_image& width=&406&&&/figure&&b&内核态负责流量劫持的C&C服务器指令接口:&/b&&br&&br&&figure&&img src=&https://pic2.zhimg.com/v2-a34d8d22b18373abc876d_b.png& data-rawwidth=&408& data-rawheight=&55& class=&content_image& width=&408&&&/figure&&br&3.1
云控指令获取&/p&&p&&br&
HSoftDoloEx.exe连接C&C服务器（&a href=&http://link.zhihu.com/?target=http%3A//update.qyllq.net/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&http://update.qyllq.net&/a&）得到的加密的云控指令，解密后通过API函数DeviceIoControl，发送给设备“\\.\{D87A9329-ED85-49C3-A8D2-}”对应的驱动程序”MsVwmlbkgn.sys“。&br&
HSoftDoloEx.exe通过C&C服务器获取运控制令流程：&br&&br&&figure&&img src=&https://pic1.zhimg.com/v2-5bf1dfa6c55e1bed11da452d15bffea4_b.png& data-rawwidth=&700& data-rawheight=&150& class=&origin_image zh-lightbox-thumb& width=&700& data-original=&https://pic1.zhimg.com/v2-5bf1dfa6c55e1bed11da452d15bffea4_r.jpg&&&/figure&图 40、HSoftDoloEx.exe和C&C服务器通信流程
请求格式如下:&br&&figure&&img src=&https://pic2.zhimg.com/v2-8a3293ede3e2fbb61079_b.png& data-rawwidth=&609& data-rawheight=&394& class=&origin_image zh-lightbox-thumb& width=&609& data-original=&https://pic2.zhimg.com/v2-8a3293ede3e2fbb61079_r.jpg&&&/figure&&br&3.2
云控指令解密&/p&&p&&br&
从C&C服务器返回的http:\\&a href=&http://link.zhihu.com/?target=http%3A//d.qyllq.net& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&d.qyllq.net&/span&&span class=&invisible&&&/span&&/a&\DB\iecomv2.7z&下载地址是一个压缩文件。HSoftDoloEx.exe下载后解压文件到%HOMEPATH%\AppData\Roaming \Internet Explorer目录，一共三个文件分别是cfg.dat、iecompa.dat和iecompb.dat。&br&&br&
除cfg.dat是明文保存云控指令版本外。其余的iecompa.dat和iecompb.dat都是加密过的二进制数据。&br&iecompa.dat（后文简称指令A）和iecompb.dat（后文简称指令B）的格式如下：&br&&br&&figure&&img src=&https://pic3.zhimg.com/v2-47ee154a4f19ae68295aa_b.png& data-rawwidth=&881& data-rawheight=&354& class=&origin_image zh-lightbox-thumb& width=&881& data-original=&https://pic3.zhimg.com/v2-47ee154a4f19ae68295aa_r.jpg&&&/figure&图 41、iecompa.dat XOR 0xB5后得到的控制指令&br&&br&&figure&&img src=&https://pic3.zhimg.com/v2-ad100d21fa2_b.png& data-rawwidth=&886& data-rawheight=&375& class=&origin_image zh-lightbox-thumb& width=&886& data-original=&https://pic3.zhimg.com/v2-ad100d21fa2_r.jpg&&&/figure&&br&图 42、iecompb.dat XOR 0xB5后得到的控制指令
图中前0x16个字节中蓝色框中内容和版本相关，绿色是指令长度，黄色是校验和。在0x16字节后面的数据XOR 0xB5，就可以得到为被加密的具体指令。&br&&b&
指令A（iecompa.dat）&/b&&br&&br&&figure&&img src=&https://pic3.zhimg.com/v2-3c46e03b8e4b6c4c2f20aa_b.png& data-rawwidth=&700& data-rawheight=&929& class=&origin_image zh-lightbox-thumb& width=&700& data-original=&https://pic3.zhimg.com/v2-3c46e03b8e4b6c4c2f20aa_r.jpg&&&/figure&图 43、控制指令的完整列表（指令A） &/p&&p& 指令B（iecompb.dat）&br&&figure&&img src=&https://pic2.zhimg.com/v2-024fad399b3c174ece315_b.png& data-rawwidth=&700& data-rawheight=&929& class=&origin_image zh-lightbox-thumb& width=&700& data-original=&https://pic2.zhimg.com/v2-024fad399b3c174ece315_r.jpg&&&/figure&图 44、控制指令的完整列表（指令B）&/p&&p&&br&
获取云控指令后的HSoftDoloEx.exe使用DeviceIoControl函数和MsVwmlbkgn.sys进行通信。一共有三组控制码（HSoftDoloEx.exe版本3.2.0.4，MsVwmlbkgn.sys版本0.6.60.70），分别是：&br&
a)222000 发送指令A的内容给MsVwmlbkgn.sys&br&
b)222004 发送指令B的内容给MsVwmlbkgn.sys&br&
c)222008 控制流量劫持功能的开关&br&&br&
目前3.2.0.4版HSoftDoloEx.exe还没有使用222008这个控制码， 因为在0.6.60.70版本的MsVwmlbkg.sys中，流量劫持功能默认为开。&br&&br&
“指令A”和“指令B” 分工合作， 在指令A中不同的劫持类型对应指令B给出不同处理劫持方案，根据具体的劫持内容可以分为三种情况，不同的劫持方案在下文会有详细分析：&br&&br&&figure&&img src=&https://pic3.zhimg.com/v2-fe76ab4c4b3a8c70c579aaae338ad7de_b.png& data-rawwidth=&726& data-rawheight=&481& class=&origin_image zh-lightbox-thumb& width=&726& data-original=&https://pic3.zhimg.com/v2-fe76ab4c4b3a8c70c579aaae338ad7de_r.jpg&&&/figure&图 45、劫持指令说明&/p&&p&&br&&br&3.3
劫持流程 &br&&br&
MsVwmlbkgn.sys是一个WFP驱动程序，该驱动会向WFP FWPM_LAYER_STREAM_V4和FWPM_LAYER_STREAM_V6注册Callout（我们标记为wfp_classify_callout）来分别过滤IPv4和IPv6的TCP数据流：&br&&br&&figure&&img src=&https://pic1.zhimg.com/v2-6ef31dc70d500491dbf9b80_b.png& data-rawwidth=&547& data-rawheight=&120& class=&origin_image zh-lightbox-thumb& width=&547& data-original=&https://pic1.zhimg.com/v2-6ef31dc70d500491dbf9b80_r.jpg&&&/figure&&br&图 46、注册IPv4和IPv6数据流过滤Callout
wfp_classify_callout中会调用http_hijack函数对TCP发送和接收的数据进行协议分析并按照一定的逻辑进行劫持：&br&&br&&figure&&img src=&https://pic4.zhimg.com/v2-96c9be57aacc5ddad1d451b_b.png& data-rawwidth=&1266& data-rawheight=&782& class=&origin_image zh-lightbox-thumb& width=&1266& data-original=&https://pic4.zhimg.com/v2-96c9be57aacc5ddad1d451b_r.jpg&&&/figure&&br&图 47、wfp_classify_callout函数&/p&&p&&br&
http_hijack函数中，根据HSoftDoloEx.exe接收C&C服务器云控指令对收发数据有选择地进行劫持，具体劫持流程如下：&br&&br&&figure&&img src=&https://pic4.zhimg.com/v2-cd54d2abcaf_b.png& data-rawwidth=&771& data-rawheight=&641& class=&origin_image zh-lightbox-thumb& width=&771& data-original=&https://pic4.zhimg.com/v2-cd54d2abcaf_r.jpg&&&/figure&图 48、内核态劫持流程图&/p&&p&&br&3.3.1
发包流程&br&
MsVwmlbkgn有一个全局开关决定是开启劫持功能，这个全局开关在MsVwmlbkgn中由控制码222008进行控制（70版本默认是打开的，上层没有对应控制的流程）。&br&&br&
除了全局开关以外，MsVwmlbkgn还会根据请求包中“Host”字段的网址，在C&C服务器给出的指令中查找，根据指令有不同的处理方式，C&C给出的指令包含：需要劫持的网站、劫持概率、使用何种方式劫持和浏览器名称。&br&&br&&figure&&img src=&https://pic4.zhimg.com/v2-e18bdc0f94c_b.png& data-rawwidth=&875& data-rawheight=&883& class=&origin_image zh-lightbox-thumb& width=&875& data-original=&https://pic4.zhimg.com/v2-e18bdc0f94c_r.jpg&&&/figure&&br&图 49、发包流程判断逻辑1&/p&&p&&br&
如果请求的URL在C&C服务器返回的劫持列表中，接下来驱动还会对当前发起进程进行判断，最后再计算C&C服务器返回的对当前URL的劫持概率。&br&&br&&figure&&img src=&https://pic2.zhimg.com/v2-bc8b26a9955_b.png& data-rawwidth=&877& data-rawheight=&926& class=&origin_image zh-lightbox-thumb& width=&877& data-original=&https://pic2.zhimg.com/v2-bc8b26a9955_r.jpg&&&/figure&图 50、发包流程判断逻辑2&/p&&p&&br&
如果上述判断逻辑均通过，则会根据C&C服务器返回的针对当前请求URL的劫持类型，有选择地分别执行两类劫持逻辑：&/p&&p&&br&&b&标记为“2”的劫持方式：&/b&&br&
首先将要劫持到的目标URL保存在redir_url。接下来，将当前HTTP Flow的句柄保存在flowHandle_lo/hi，在收包劫持流程中做判断使用。&br&&br&&figure&&img src=&https://pic3.zhimg.com/v2-c4f9d39cee64fdae4f89f6_b.png& data-rawwidth=&906& data-rawheight=&134& class=&origin_image zh-lightbox-thumb& width=&906& data-original=&https://pic3.zhimg.com/v2-c4f9d39cee64fdae4f89f6_r.jpg&&&/figure&图 51、保存收包劫持所需数据&/p&&p&&br&
MsVwmlbkgn会保留请求包中原始”Host“地址，在地址前添加“http://”子串后进行base64编码，在编码后的字符串前添加&&s=&，构成一个新的字符串，结果保存在url_from_http_get_request。恶意代码制造者会通过该字符串统计截取流量的来源。&br&&br&
以“&a href=&http://link.zhihu.com/?target=http%3A//hao.qq.com/& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&hao.qq.com/&/span&&span class=&invisible&&&/span&&/a& ”为例，转换后”&s=aHR0cDovL2hhby5xcS5jb20vIA==“，保存该字符串在对应的应答包中使用，用于服务器后台统计。&br&&br&&figure&&img src=&https://pic4.zhimg.com/v2-4cbc8978cd8affaf23c5c3_b.png& data-rawwidth=&782& data-rawheight=&664& class=&origin_image zh-lightbox-thumb& width=&782& data-original=&https://pic4.zhimg.com/v2-4cbc8978cd8affaf23c5c3_r.jpg&&&/figure&&br&图 52、分析HTTP发送请求完整URL&br&&br&&figure&&img src=&https://pic4.zhimg.com/v2-b0f6bbf0c80b8b_b.png& data-rawwidth=&780& data-rawheight=&783& class=&origin_image zh-lightbox-thumb& width=&780& data-original=&https://pic4.zhimg.com/v2-b0f6bbf0c80b8b_r.jpg&&&/figure&&br&图 53、拼接劫持来源统计信息&/p&&p&&br&&b&
标记为“8”的劫持方式：&/b&&/p&&p&&br&
如果是方式“8”直接添加插入一个请求数据包，在”Host“地址后面修改推广号，具体实现在construct_send_hijack_packet中完成。&br&&br&&figure&&img src=&https://pic3.zhimg.com/v2-e8d6bfcfb6c356a5ddbe6_b.png& data-rawwidth=&781& data-rawheight=&783& class=&origin_image zh-lightbox-thumb& width=&781& data-original=&https://pic3.zhimg.com/v2-e8d6bfcfb6c356a5ddbe6_r.jpg&&&/figure&图 54、发包劫持流程&/p&&p&&br&3.3.2
收包流程&/p&&p&&br&
如果当前HTTP Flow为发包时记录下的需要被劫持的Flow (flowHandle_lo/hi与当前句柄相同)，则表示这个收到的HTTP数据是需要被劫持的。这时，则会在应答流程中插入一个302重定向应答包，并将重定向地址指向redir_url，且将劫持来源统计信息（url_from_http_get_request）同时拼接到重定向URL中。&br&&br&&figure&&img src=&https://pic4.zhimg.com/v2-5cfb20046f_b.png& data-rawwidth=&714& data-rawheight=&579& class=&origin_image zh-lightbox-thumb& width=&714& data-original=&https://pic4.zhimg.com/v2-5cfb20046f_r.jpg&&&/figure&&br&图 55、收包劫持流程&br&&br&&figure&&img src=&https://pic3.zhimg.com/v2-9e2af0b8b95b72c120b8fc1dfc204afe_b.png& data-rawwidth=&812& data-rawheight=&987& class=&origin_image zh-lightbox-thumb& width=&812& data-original=&https://pic3.zhimg.com/v2-9e2af0b8b95b72c120b8fc1dfc204afe_r.jpg&&&/figure&图 56、拼接302重定向应答包&/p&&p&&br&
以用户访问“&a href=&http://link.zhihu.com/?target=http%3A//hao.qq.com/& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&hao.qq.com/&/span&&span class=&invisible&&&/span&&/a& ”为例，经过内核态劫持后，真正的访问链接就变成了“&a href=&http://link.zhihu.com/?target=https%3A//www.hao123.com/%3Ftn%3D_hao_ss%26s%3DaHR0cDovL2hhby5xcS5jb20vIA%3D%3D& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://www.&/span&&span class=&visible&&hao123.com/?&/span&&span class=&invisible&&tn=_hao_ss&s=aHR0cDovL2hhby5xcS5jb20vIA==&/span&&span class=&ellipsis&&&/span&&/a&”&br&&br&3.3.3
百度网盟广告劫持&br&
通过云控指令一节中可以看到，指令A中劫持的网站列表中绝大多数都是导航站，但是最后两个却是百度网盟的广告js脚本，劫持关系如下表：&br&&br&&figure&&img src=&https://pic3.zhimg.com/v2-17bb843ce91c2af3e78e_b.png& data-rawwidth=&600& data-rawheight=&85& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&https://pic3.zhimg.com/v2-17bb843ce91c2af3e78e_r.jpg&&&/figure&&br&
用户访问有投放百度广告的网站时，恶意代码会劫持百度广告，具体流程如下：&br&
1）&a href=&http://link.zhihu.com/?target=http%3A//cpro.baidustatic.com/cpro/ui/c.js& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&cpro.baidustatic.com/cp&/span&&span class=&invisible&&ro/ui/c.js&/span&&span class=&ellipsis&&&/span&&/a&和&a href=&http://link.zhihu.com/?target=http%3A//cpro.baidu.com/cpro/ui/c.js& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&cpro.baidu.com/cpro/ui/&/span&&span class=&invisible&&c.js&/span&&span class=&ellipsis&&&/span&&/a&是用于展示从百度网盟获取广告的js脚本。&br&
2）访问带有百度广告脚本的网站时，步骤1的“c.js”脚本被劫持替换成&a href=&http://link.zhihu.com/?target=http%3A//update.qyllq.net/r.php%3Fc%3D30%26v%3D3& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&update.qyllq.net/r.php?&/span&&span class=&invisible&&c=30&v=3&/span&&span class=&ellipsis&&&/span&&/a&或&a href=&http://link.zhihu.com/?target=http%3A//update.qyllq.net/r.php%3Fc%3D31%26v%3D3& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&update.qyllq.net/r.php?&/span&&span class=&invisible&&c=31&v=3&/span&&span class=&ellipsis&&&/span&&/a&。&br&
3）步骤2的PHP页面会继续跳转到&a href=&http://link.zhihu.com/?target=http%3A//xz.mascldl.com/ifr/c3w.js& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&xz.mascldl.com/ifr/c3w.&/span&&span class=&invisible&&js&/span&&span class=&ellipsis&&&/span&&/a&，得到”c3w.js”脚本。&br&
4）继续跳转到&a href=&http://link.zhihu.com/?target=http%3A//xz.mascldl.com/ifr/cw3.js& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&xz.mascldl.com/ifr/cw3.&/span&&span class=&invisible&&js&/span&&span class=&ellipsis&&&/span&&/a&，得到”cw3.js”脚本。&br&
5）”cw3.js”脚本就是最终得到负责劫持的百度网盟广告的js脚本。
&br&&br&&figure&&img src=&https://pic2.zhimg.com/v2-bd7d39dc3e581d3b42f7f9e28ff1fb9d_b.png& data-rawwidth=&667& data-rawheight=&195& class=&origin_image zh-lightbox-thumb& width=&667& data-original=&https://pic2.zhimg.com/v2-bd7d39dc3e581d3b42f7f9e28ff1fb9d_r.jpg&&&/figure&&br&图 57、百度网盟广告劫持流程图&/p&&p&&br&“cw3.js”脚本劫持百度网盟广告的流程如下：&br&
1）首先拼接劫持到的目的网址，这些网址都是跳转链接： &/p&&p&&br&&a href=&http://link.zhihu.com/?target=http%3A//yu.xrtotel.com/cl/u0.html& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&yu.xrtotel.com/cl/u6399&/span&&span class=&invisible&&0/200x200.html&/span&&span class=&ellipsis&&&/span&&/a&&br&&a href=&http://link.zhihu.com/?target=http%3A//yu.xrtotel.com/cl/u0.html& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&yu.xrtotel.com/cl/u6399&/span&&span class=&invisible&&0/250x250.html&/span&&span class=&ellipsis&&&/span&&/a&&br&&a href=&http://link.zhihu.com/?target=http%3A//yu.xrtotel.com/cl/u0.html& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&yu.xrtotel.com/cl/u6399&/span&&span class=&invisible&&0/300x250.html&/span&&span class=&ellipsis&&&/span&&/a&&br&&a href=&http://link.zhihu.com/?target=http%3A//yu.xrtotel.com/cl/u0.html& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&yu.xrtotel.com/cl/u6399&/span&&span class=&invisible&&0/336x280.html&/span&&span class=&ellipsis&&&/span&&/a&&br&&a href=&http://link.zhihu.com/?target=http%3A//yu.xrtotel.com/cl/u.html& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&yu.xrtotel.com/cl/u6399&/span&&span class=&invisible&&0/580x90.html&/span&&span class=&ellipsis&&&/span&&/a&&br&&a href=&http://link.zhihu.com/?target=http%3A//yu.xrtotel.com/cl/u.html& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&yu.xrtotel.com/cl/u6399&/span&&span class=&invisible&&0/640x60.html&/span&&span class=&ellipsis&&&/span&&/a&&br&&a href=&http://link.zhihu.com/?target=http%3A//yu.xrtotel.com/cl/u.html& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&yu.xrtotel.com/cl/u6399&/span&&span class=&invisible&&0/728x90.html&/span&&span class=&ellipsis&&&/span&&/a&&br&&a href=&http://link.zhihu.com/?target=http%3A//yu.xrtotel.com/cl/u.html& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&yu.xrtotel.com/cl/u6399&/span&&span class=&invisible&&0/960x90.html&/span&&span class=&ellipsis&&&/span&&/a&&br&&br&
跳转后的广告页面为带有计费号的“&a href=&http://link.zhihu.com/?target=http%3A//duba.com/union2.html& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&duba.com/union2.html&/span&&span class=&invisible&&&/span&&/a&“:&br&&br&&figure&&img src=&https://pic4.zhimg.com/v2-465dcf90e7adbe2dd5c6af_b.png& data-rawwidth=&714& data-rawheight=&551& class=&origin_image zh-lightbox-thumb& width=&714& data-original=&https://pic4.zhimg.com/v2-465dcf90e7adbe2dd5c6af_r.jpg&&&/figure&图 58、劫持后的广告链接&/p&&p& 2）查找页面中的iframe标签，判断链接是否是”pos.baidu.com”并且不是”duba”：&br&&br&&br&for (var M = 0; M & H. M++) {
var D = H[M].
(D == null || D == &undefined& || D.indexOf(&iframe&) !==
(H[M].src.indexOf(&&a href=&http://link.zhihu.com/?target=http%3A//pos.baidu.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&pos.baidu.com&/span&&span class=&invisible&&&/span&&/a&&) != 7 ||
H[M].src.indexOf(&duba&) & 0) {
F(H[M], H[M].offsetWidth, H[M].offsetHeight)
&br&}&br&&br&&br&
3）如果条件匹配，判断第一步准备的广告有没有大小合适的，找到合适大小则将原始链接保存下来：&br&&br&&br&function F(U, d, T){&br&
if (t.length == 0) {&br&
return&br&
for (var s in t) {&br&
if (t[0] == U.offsetWidth &&t[1] == U.offsetHeight) {&br&
G.push(U)&br&
}&br&}&br&&br&
然后判断当前网站链接是否在它的放过列表中&br&&br&&br&function e() {&br&&br&
var d = [&.&a href=&http://link.zhihu.com/?target=http%3A//hao123.co& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&hao123.co&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//3567.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&3567.com&/span&&span class=&invisible&&&/span&&/a&&,
&.&a href=&http://link.zhihu.com/?target=http%3A//www2345.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&www2345.com&/span&&span class=&invisible&&&/span&&/a&&,&.&a href=&http://link.zhihu.com/?target=http%3A//www9991.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&www9991.com&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//365wz.net& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&365wz.net&/span&&span class=&invisible&&&/span&&/a&&,
&.&a href=&http://link.zhihu.com/?target=http%3A//2345.net& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&2345.net&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//2345.org& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&2345.org&/span&&span class=&invisible&&&/span&&/a&&,&.&a href=&http://link.zhihu.com/?target=http%3A//77816.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&77816.com&/span&&span class=&invisible&&&/span&&/a&&,
&.&a href=&http://link.zhihu.com/?target=http%3A//365wz.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&365wz.com&/span&&span class=&invisible&&&/span&&/a&&,&.&a href=&http://link.zhihu.com/?target=http%3A//hao184.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&hao184.com&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//d1wz.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&d1wz.com&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//to128.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&to128.com&/span&&span class=&invisible&&&/span&&/a&&, &.42.62.30.178&,&.42.62.30.180&, &.&a href=&http://link.zhihu.com/?target=http%3A//2345soso.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&2345soso.com&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//2345kankan.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&2345kankan.com&/span&&span class=&invisible&&&/span&&/a&&,
&.&a href=&http://link.zhihu.com/?target=http%3A//ku118.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&ku118.com&/span&&span class=&invisible&&&/span&&/a&&,&.&a href=&http://link.zhihu.com/?target=http%3A//hh361.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&hh361.com&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//v2233.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&v2233.com&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//ie567.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&ie567.com&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//2345ii.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&2345ii.com&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//kuku2.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&kuku2.com&/span&&span class=&invisible&&&/span&&/a&&,
&.&a href=&http://link.zhihu.com/?target=http%3A//yes115.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&yes115.com&/span&&span class=&invisible&&&/span&&/a&&,&.&a href=&http://link.zhihu.com/?target=http%3A//kabasiji.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&kabasiji.com&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//5599.net& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&5599.net&/span&&span class=&invisible&&&/span&&/a&&,
&.&a href=&http://link.zhihu.com/?target=http%3A//te99.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&te99.com&/span&&span class=&invisible&&&/span&&/a&&,&.&a href=&http://link.zhihu.com/?target=http%3A//duote.com.cn& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&duote.com.cn&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//duote.net& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&duote.net&/span&&span class=&invisible&&&/span&&/a&&,
&.&a href=&http://link.zhihu.com/?target=http%3A//51ct.cn& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&51ct.cn&/span&&span class=&invisible&&&/span&&/a&&,&.&a href=&http://link.zhihu.com/?target=http%3A//zhangyu.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&zhangyu.com&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//537.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&537.com&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//cc62.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&cc62.com&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//cn220.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&cn220.com&/span&&span class=&invisible&&&/span&&/a&&,&.&a href=&http://link.zhihu.com/?target=http%3A//k986.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&k986.com&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//555k.net& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&555k.net&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//wzeh.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&wzeh.com&/span&&span class=&invisible&&&/span&&/a&&,&.&a href=&http://link.zhihu.com/?target=http%3A//yl234.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&yl234.com&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//2345download.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&2345download.com&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//g3456.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&g3456.com&/span&&span class=&invisible&&&/span&&/a&&,&.&a href=&http://link.zhihu.com/?target=http%3A//duote.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&duote.com&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//duote.cn& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&duote.cn&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//9991.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&9991.com&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//50bang.org& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&50bang.org&/span&&span class=&invisible&&&/span&&/a&&,
&.&a href=&http://link.zhihu.com/?target=http%3A//2345.com.cn& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&2345.com.cn&/span&&span class=&invisible&&&/span&&/a&&,&.&a href=&http://link.zhihu.com/?target=http%3A//duote.org& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&duote.org&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//haozip.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&haozip.com&/span&&span class=&invisible&&&/span&&/a&&,
&.&a href=&http://link.zhihu.com/?target=http%3A//2345.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&2345.com&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//2345.cn& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&2345.cn&/span&&span class=&invisible&&&/span&&/a&&,&.&a href=&http://link.zhihu.com/?target=http%3A//tt5000.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&tt5000.com&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//4585.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&4585.com&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//728.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&728.com&/span&&span class=&invisible&&&/span&&/a&&,&.&a href=&http://link.zhihu.com/?target=http%3A//game56.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&game56.com&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//fa3000.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&fa3000.com&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//yy5000.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&yy5000.com&/span&&span class=&invisible&&&/span&&/a&&,&.&a href=&http://link.zhihu.com/?target=http%3A//777ge.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&777ge.com&/span&&span class=&invisible&&&/span&&/a&&, &.&a href=&http://link.zhihu.com/?target=http%3A//hao774.com& class=& external& target=&_blank& rel=&nofollow norefer