摩擦摩擦，一步一步下一步，是百度套装的步伐

offense

摩擦

毒瘤

82 条回复 • 2015-01-26 16:01:02 +08:00

1

xuwenmang

2015-01-24 21:19:01 +08:00

我靠，丧心病狂啊。。

2

machaodev

2015-01-24 21:26:26 +08:00

下一步就该连驱动程序也不放过了

3

abelyao

2015-01-24 21:26:39 +08:00

@xuwenmang 丧心病狂+1

4

ytf4425

2015-01-24 21:27:53 +08:00

今天更新的时候也发现了

5

Slienc7

2015-01-24 21:30:24 +08:00

軟件簽名是百毒還是Oracle？

6

rollse

2015-01-24 21:32:58 +08:00

关键这是 JAVA 官方网站的升级包，太不可思议了。

7

skyline75489

2015-01-24 21:33:48 +08:00

百度是给了Oracle多少钱。。。

8

Dannytmp

2015-01-24 21:57:13 +08:00

1

以后要拒绝国产一切软件了

9

scusjs

2015-01-24 22:05:56 +08:00

狼厂威武23333

10

huaiyinhou

2015-01-24 22:07:18 +08:00 via Android

摩擦摩擦

11

Bairrfhoinn

2015-01-24 22:10:12 +08:00

好久没有下载安装过JDK 了，原来百度也进来掺和了壹脚……

12

Tyler1989

2015-01-24 22:11:16 +08:00 via Android

时间会给你答案

13

otmb

2015-01-24 22:15:00 +08:00

@skyline75489 真的假的?

14

Jat001

2015-01-24 22:21:29 +08:00

刚更新了 jre，离线和在线全试了，没任何捆绑，难道是 xp 用户专用？

15

Luzifer

2015-01-24 22:25:28 +08:00

百度利用IE漏洞推广软件

16

Luzifer

2015-01-24 22:29:01 +08:00

叫你们不升级IE

17

xiaojins

2015-01-24 22:36:40 +08:00 via Android

1

吓死我了，估计是是，ie太老被拦截了，

18

standin000

2015-01-24 22:36:58 +08:00

被百度CDN劫持了？

19

luckykong

2015-01-24 22:44:39 +08:00

@Luzifer 点击安装。会下载一个安装包，然后再次下载安装，就会出现百度的东西了
估计这次百度是躺枪。不过百度也该改一改推广政策了

20

caizixian

OP

2015-01-24 22:45:36 +08:00

@xgowex 是Oracle

@Jat001 @Luzifer 原PO是Arch用户，他发现的时候是在一台Win7虚拟机中，IE是11

@xuwenmang @machaodev @abelyao @ytf4425 @xgowex @rollse @skyline75489 @Dannytmp @scusjs
@huaiyinhou @Bairrfhoinn @Tyler1989 @otmb @Jat001 @Luzifer @xiaojins @standin000
原PO在接下来的测试中发现只对中国IP有效，具体可以看他之后发的微博

21

otmb

2015-01-24 22:50:01 +08:00

@luckykong 在jdk上捆绑软件,赶脚度娘对码农很有爱啊:)
码农们,都可以用上度凉杀毒套件了

22

Luzifer

2015-01-24 23:01:45 +08:00

@luckykong
@caizixian

https://technet.microsoft.com/zh-cn/library/security/MS14-065

发布时间：2014年11月11日|更新日期：2014年12月9日

Internet Explorer 6
Internet Explorer 7
Internet Explorer 8
Internet Explorer 9
Internet Explorer 10
Internet Explorer 11

常见问题
攻击者可能利用这些漏洞执行什么操作？

成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录，成功利用这些漏洞的攻击者便可完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

攻击者如何利用这些漏洞？

攻击者可能拥有一个旨在通过 Internet Explorer 利用这些漏洞的经特殊设计的网站，然后诱使用户查看该网站。攻击者还可能利用受到破坏的网站以及接受或宿主用户提供的内容或广告的网站。这些网站可能包含可以利用这些漏洞的特殊设计的内容。但是在所有情况下，攻击者都无法强制用户查看由攻击者控制的内容。相反，攻击者必须诱使用户采取行动，方法通常是让用户单击电子邮件或 Instant Messenger 中的链接以使用户链接到攻击者的网站，或者让用户打开通过电子邮件发送的附件。

23

Luzifer

2015-01-24 23:03:53 +08:00

@luckykong 我已经安装完了。是没有百度的。倒是最后提醒我卸载旧java版本。

24

Luzifer

2015-01-24 23:12:11 +08:00

RCE
远程执行代码
EoP
特权提升
ID
信息泄露
SFB
绕过安全功能

我是傻傻分不清楚，我作为小白，勤打补丁保平安。

25

kingcos

2015-01-24 23:18:27 +08:00

表示刚更新，没有附加软件啊。。。

26

luckykong

2015-01-24 23:22:13 +08:00

@Luzifer
@kingcos
好奇怪，你们试试我下载的java更新软件。链接: http://pan.baidu.com/s/1eQ5tKIY 密码: ajyh

运行这个，显示正常，点击它给的安装按钮，然后正常运行，过一段时间就会跳出百度的界面。不过我这个只有两个百度软件的推广，微博上那个有四个。

27

joshryo

2015-01-24 23:23:03 +08:00

刚更新，不过是直接下的JDK安装的，没发现任何异常

28

mornlight

2015-01-24 23:28:29 +08:00

用香港的VPS下了一个，没有这东西

29

jaylong

2015-01-24 23:29:34 +08:00

楼主这windows 2000的界面也是够穿越的

30

Luzifer

2015-01-24 23:32:33 +08:00

@luckykong 已经试不了了。

31

Slienc7

2015-01-24 23:37:35 +08:00

@caizixian 有沒有可能是軟件内嵌網頁遭到劫持？

32

luckykong

2015-01-24 23:42:02 +08:00

安装从网站下载的文件，是这个界面

看上去一切正常。运行之，之后会出来这个程序。

这时候，检查临时文件夹里下载的安装包，及签名，是这种情况。

33

hjc4869

2015-01-24 23:48:07 +08:00

@xgowex
@xiaojins
@Luzifer
@luckykong
如果是百度的签名，就不会这么有礼貌地问你要不要安装套装了
右下角会直接蹦出一个弹窗，上面一个复选框，在一定时间内你没有取消这个复选框，套装就自动给你装备上了。
楼上没有下载到这个包的是不是挂了代理，或者本身人就在q外？

34

Slienc7

2015-01-24 23:50:40 +08:00

測試環境：Windows XP SP3
瀏覽器：獵豹
什麽都沒有，沒有“下一步”，衹有“安裝”，然後一會就安裝完成了

35

Slienc7

2015-01-24 23:52:12 +08:00

@luckykong
@hjc4869
能否提供下安裝程序？謝謝

36

Delbert

2015-01-24 23:52:46 +08:00

火狐en_US版本，首页的链接跳转到英文版，下载安装后一切正常。
win 8.164中文
浏览器火狐nightly英文

37

Slienc7

2015-01-25 00:10:22 +08:00

624KB的安裝包需要聯機，直接安裝會顯示網絡錯誤
下了完整版，取消了代理，沒有見到百毒廣告

38

Luzifer

2015-01-25 00:34:17 +08:00

@luckykong

我对你是真爱@.@! 我对你是真爱@.@! 我对你是真爱@.@!

我卸载了原先的, 安装了你的,

然后, 我再去官网下载也变成你的这种了!!! 我靠, 中毒了~~~
明天再仔细看. 要睡觉了~

我没点下一步, 直接取消了, 然后清缓存, 删Temp, 重新官网下载。

被传染了。

39

luckykong

2015-01-25 01:22:34 +08:00

@hjc4869 教育网，未翻墙下载的

40

luckykong

2015-01-25 01:22:50 +08:00

@xgowex 链接: http://pan.baidu.com/s/1eQ5tKIY 密码: ajyh 你可以试试这个

41

fashioncj

2015-01-25 01:26:17 +08:00

~应该只是推广吧~更新一下试试~

42

Jat001

2015-01-25 01:56:40 +08:00

@luckykong 贴个文件 md5 或 sha1 啊，你传到百度网盘上，谁知道下载后的是不是你传上去的文件？

43

yuhu

2015-01-25 03:20:00 +08:00

1

@Jat001
大小: 639912 字节
文件版本: 8.0.310.13
修改时间: 2015年1月25日, 3:15:10
MD5: 6713E17AFCB3A28191A747DC8C475721
SHA1: F7AEC8AF43AAC67655484D31E90518AEA727447B
CRC32: 72F996A8

44

lzxgh621

2015-01-25 06:45:55 +08:00

同。。。
chrome下从java官网下载的几百k的安装程序
最后就是百度四个儿子。。。

45

Slienc7

2015-01-25 09:20:16 +08:00

@luckykong
在Windows10下
未設置代理
一切正常，沒有百毒提示

46

sdysj

2015-01-25 09:39:31 +08:00

中国特色准入标准啊。。。。。。

47

cnZary

2015-01-25 09:55:31 +08:00

“为保证当前电脑流畅运行，请卸载Java”

48

princeofwales

2015-01-25 10:16:18 +08:00

WIN8.1，IE11+Chrome39
刚刚升级java包时，我也碰到了捆绑安装败毒杀毒卫士和败毒浏览器，默认是勾选的
这2个无耻的流氓企业

刚准备上来吐槽，发现已经有了

49

TangMonk

2015-01-25 10:56:55 +08:00

酷炫叼咋天

50

FrankFang128

2015-01-25 10:58:17 +08:00 via Android

Java 沦陷

51

itsjoke

2015-01-25 10:58:53 +08:00

靠.专程试了一下,还真是这样.
Win7+chrome也中枪了
百度真是百毒啊,还下载了老半天这些安装程序

52

ming7435

2015-01-25 11:56:48 +08:00

卧槽，我还以为百毒跟oracle已经联手了。昨天差点被强叉！

53

Luzifer

2015-01-25 13:18:11 +08:00

就是个木马啊。。。。

@caizixian 回 20 楼, 确实只对中国IP有效, 即使 @luckykong 给的安装程序, 挂VPN后也不会出现百度。

可以看安装log, 它进行了判断，它不敢搞外国人啊，外国人捅死它股价！

https://gist.github.com/Fuck-Baidu/aec6eaadfac9fe682e71

我的国家, 几个浏览器, 默认浏览器 , 我的IP地址都发出去了。鬼知道还记录了什么。

Sat Jan 24 12:16:11 2015
:: -- Start in Baidu::CheckCriteria --

Sat Jan 24 12:16:11 2015
:: Loading BAIDU CCT from: C:\Users\Fuck-Baidu\AppData\Local\Temp\cct.dll

@luckykong

log最后一句, 就是四个百度。你只有两个。

@xgowex 大神，能把它揪出来批斗不？！完全就是个木马啊！

54

Luzifer

2015-01-25 13:40:07 +08:00

这位好像安装了百度捆绑

https://gist.github.com/Fuck-Baidu/99f429a941a8a15b1926

55

luckykong

2015-01-25 14:07:41 +08:00

@Luzifer 我觉着是oracle 堕落了。
使用美国vps下载这个链接http://javadl.sun.com/webapps/download/AutoDL?BundleId=101416，然后将文件传回国内，进行安装，依然会有百度的捆绑。。。
我觉着问题可能是oracle那边的

56

halczy

2015-01-25 14:09:54 +08:00

刚刚更新了Java，没有发现百度。用最新版Chrome，没开VPN。

这是我用的安装包，中招的可以试试。
32Bit: http://caiyun.feixin.10086.cn/dl/175CkxUzyqpRx
64Bit: http://caiyun.feixin.10086.cn/dl/175CkxUxdWCn9

57

Luzifer

2015-01-25 14:22:22 +08:00

@luckykong 你这说法我不认同。

同 @halczy 我第一次安装就没开VPN，用IE下的， #16楼。没有捆绑。就是更新完提示我卸载旧版java。

自从安装了luckykong 你的这版后，怎么去官网下，安装都是有捆绑的。开VPN后没有捆绑，但这情况是百度进行了国别检测。安装过程还是受污染的。

正常安装log是没有

"~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~" 以下Baidu部分的。

Sat Jan 25 13:27:43 2015
:: -- IsCountrySupported -- Detected Country: US

Sat Jan 25 13:27:43 2015
:: -- IsCountrySupported -- The Country is not supported

Sat Jan 25 13:27:43 2015
:: -- IsCountrySupported -- Supported Countries: CN;

58

Luzifer

2015-01-25 14:32:12 +08:00

上面三句是 VPN 情况下安装log，没有捆绑，但也不是正常状态。

Sun Jan 25 00:51:21 2015
:: -- DetermineSponsor -- NO sponsor found: setting key for Empty Slots

>>>正常的在这里就结束了

Sun Jan 25 01:08:10 2015
::
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

...省略,同53楼

59

geeklian

2015-01-25 14:35:38 +08:00

http://javadl-esd.sun.com/update/1.8.0/sp-1.8.0_31-b13//sp30/BDWSZip.dll

证书大法还是有效的吧？

60

luckykong

2015-01-25 15:30:51 +08:00

@Luzifer 昨晚意外，重装了系统，格式化c盘，然后第一次下载安装java，使用在线版安装，结果依然是百度。

另外，16楼你的安装是第一步。这一步都没有问题。这一步之后，会下载安装包，安装这个安装包的时候才会出百度的捆绑。

同样59楼的地址，也可以看到sun网站上的确有了百度的文件。
所以我觉着不是木马，而是sun.com 本身就这么做了

61

Felldeadbird

2015-01-25 15:45:45 +08:00

这样做太损了。公司的电脑之前就试过百度杀毒怎样删除都删不了。太恶心了。

62

Luzifer

2015-01-25 15:47:11 +08:00

@luckykong #16楼安装是第一步。这一步都没有问题。这一步之后，会下载安装包，安装这个安装包的时候也没有出百度的捆绑。而是直接安装了。
根本就没有下一步那个选择界面的（根本就没有出现有百度捆绑的界面）。

应该说明白了吧。楼上也很多非VPN下安装的没问题啊。

（唉，你没体验过正常的安装过程，不是很容易理解啊）

我看法不是oracle 堕落了。而是你中百度的毒了，然后我因为安装你给的那个版本也中了百度的毒。

63

Luzifer

2015-01-25 16:05:47 +08:00

@luckykong
----
@Jat001 14楼
@luzifer 16楼
@kingcos 25楼
@mornlight 28楼香港VPS
@xgowex 34楼未设置代理
什麽都沒有，沒有“下一步”，衹有“安裝”，然後一會就安裝完成了
@Delbert 36楼
@halczy 56楼
----

至于 @geeklian 59楼 sun网站上的确有了百度的文件。就不知道怎么解释了。

也解释不了我第一次安装是正常的。楼上非VPN下安装也是正常的。

鉴于我的个人安装情况，认定百度是木马了。

64

fumichael

2015-01-25 16:55:58 +08:00

java.sun.com（好像会跳转）或者去oracle的网站下载呀
java.XXX/zh-cn……这到底是哪的_(:3」∠)_

65

Delbert

2015-01-25 19:47:00 +08:00

1

@Luzifer 我重新安装了一遍，就是那个online的，安装完之后果然出现了。

66

Delbert

2015-01-25 19:58:22 +08:00

@fumichael java.com/en 下下来，安装过程中也是检查本地的。
下面是我的log。

https://gist.github.com/cnDelbert/b4baff676eefaa874b62

67

konakona

2015-01-25 20:28:36 +08:00

还好我是OSX...原理百度纷争..

68

bugeye

2015-01-25 20:46:30 +08:00

和百度没什么关系吧，下载flash一样会给你装chrome.只能说，是捆绑这些软件方的问题。

另外，我刚去java.com，不知道为什么下载的是完整安装包。。。。目前还没下完。不过用wireshark抓包，证实确实是oracle那里的IP下的。等下完了，也来试验一下。

69

zent00

2015-01-25 20:54:00 +08:00

@bugeye 捆绑软件确实很正常，Chrome 随便捆绑，无所谓，顶多卸载嘛，对吧？
但百度会用其中一个程序把自家所有东西全给你装上，但这也不是重点，最重点的问题是百度的东西你能确保一定可以卸载？一定可以干净的卸载？

70

bugeye

2015-01-25 21:00:29 +08:00

下载完了，安装，一切正常，没有捆绑。不清楚其它同学为什么会遇到这个问题的。

71

bugeye

2015-01-25 21:04:04 +08:00

@zent00 我以前下过一个绿色软件，然后自动给我装了上百度卫士什么的。后来我查出是那个绿色软件捣鬼，就把那个绿色软件干掉，然后又把那个绿色软件留的后门干掉就好了。以我的这次经验看，好像百度卫士没有什么不能删掉的。不过那也是半年以前的事了，不清楚现在如何。

至于百度云同步盘，和百度云管家我也装过，这些卸载也没有问题。

72

Delbert

2015-01-25 21:06:30 +08:00

@bugeye java.com 首页的链接，win8.1下载下来的是625K大小的（好像有人是624K）一个文件，安装完之后自动出现baidu。这是我的：

73

bugeye

2015-01-25 21:08:48 +08:00

@Delbert 发现用IE，就是625K的，用chrome就是89.1M的。我再用IE试一下。

74

zent00

2015-01-25 21:10:46 +08:00

@bugeye 你可以安装一下百度全家桶，然后试试。

75

bugeye

2015-01-25 21:14:34 +08:00

@Delbert 果然，624K的就会出现百度捆绑软件。另外用wireshark抓包，这次624K的安装程序是从微软hosting上抓来的（IP为 65.55.176.90）。不太像中途被ISP或者其它人劫持的样子。

76

charle9

2015-01-25 21:17:09 +08:00

刚刚试着更新了一下java，也出来四个套件了，电脑里没安装过百度的软件啊。，

77

bugeye

2015-01-25 21:18:08 +08:00

@zent00 正有此意。反正准备升win10（这次免费的力度还真大呢），现在的系统就算给玩坏了也没关系。

78

standin000

2015-01-25 21:18:40 +08:00

@geeklian 果然是的，sun.com被侮辱了

79

fumichael

2015-01-25 21:57:21 +08:00

1

不知道这里面能不能贴链接，我是去这里面下载的
http://www.oracle.com/technetwork/java/javase/downloads/index.html

我用的是Windows，所以就能Windows的下载链接吧（其他都大同小异）
--------------------------------------------------------------------------
*****JKD8
Windows x86 157.96 MB jdk-8u31-windows-i586.exe
http://download.oracle.com/otn-pub/java/jdk/8u31-b13/jdk-8u31-windows-i586.exe
Windows x64 170.36 MB jdk-8u31-windows-x64.exe
http://download.oracle.com/otn-pub/java/jdk/8u31-b13/jdk-8u31-windows-x64.exe
*****JDK7
Windows x86 127.8 MB jdk-7u75-windows-i586.exe
http://download.oracle.com/otn-pub/java/jdk/7u75-b13/jdk-7u75-windows-i586.exe
Windows x64 129.52 MB jdk-7u75-windows-x64.exe
http://download.oracle.com/otn-pub/java/jdk/7u75-b13/jdk-7u75-windows-x64.exe
--------------------------------------------------------------------------
JRE一样可以在第一个地址获取，如果下载速度慢的话可以用网盘的离线功能先离线到网盘再下载到本地

*****不会在这发图_(:3」∠)_

80

coolchen112

2015-01-26 08:27:36 +08:00

我表示，昨天更新java的时候，也是百度套装齐上阵。。我电脑不可能中毒，因为我就是写木马的。很明显，sun收了百度的钱。

81

sdjkx

2015-01-26 09:10:11 +08:00

Oracle官方的说明：
http://java.com/zh_CN/download/faq/baidu.xml

安装不带赞助商（百度病毒）产品的 Java
http://java.com/zh_CN/download/faq/disable_offers.xml

82

vvard3n

2015-01-26 16:01:02 +08:00

百度杀毒的主要功能是什么?
百度杀毒提供三重防毒服务：主动防御, 实时监控, 自主查杀. 主动防御功能可以对试图攻击您个人电脑的恶意行为进行主动识别，并告知您可能存在的风险，降低个人电脑遭到破坏的可能性。实时监控功能可以实时监测您电脑运行过程中的所有进程，将危险扼杀于萌芽状态。自主查杀功能为您提供了闪电查杀（快速查杀）、全盘查杀、自定义查杀三种选择，您可以根据您的需要进行选择，对您的个人电脑进行扫描检测。

百度卫士的主要功能是什么?
百度卫士集合了电脑加速、系统清理、木马查杀和软件管理功能，竭力为用户提供轻巧、快速、智能、纯净的产品体验.

百度浏览器的主要功能是什么？
百度浏览器依靠百度强大的搜索平台，在满足浏览网页的基础上，以百度体系业务整合为优势，带给你更方便的浏览方式。

百度工具栏的主要功能是什么？
百度工具栏具有自定义搜索功能，实现对其他网站的搜索。同时百度工具栏还拥有IE首页保护、广告拦截、上网伴侣等多种功能，访问任何网页时均可享受百度工具栏带来的便利。

-----------------------------------

逗。