NetReaper专杀工具 V1.0 免费版

　　NetReaper专杀工具是一款由百度官方推出的流氓木马病毒专杀软件，该软件专门针对近期hao123软件下载站中下载软件出现恶意代码劫持浏览器的情况，绿色免费，高效率查杀，全面守护用户的系统安全，有需要的小伙伴快来下载体验吧。

【相关新闻】

　　经火绒安全实验室截获、分析、追踪并验证，当用户从百度旗下的http://www.skycn.net/和 http://soft.hao123.com/这两个网站下载任何软件时，都会被植入恶意代码。该恶意代码进入电脑后，会通过加载驱动等各种手段防止被卸载，进而长期潜伏，并随时可以被“云端”远程操控，用来劫持导航站、电商网站、广告联盟等各种流量。

　　火绒实验室近期接到数名电脑浏览器被劫持的用户求助，在分析被感染电脑时，提取到多个和流量劫持相关的可疑文件：HSoftDoloEx.exe 、bime.dll 、MsVwmlbkgn.sys、LcScience.sys、WaNdFilter.sys，这些可疑文件均包含百度签名。

　　这些包含恶意代码的可疑文件，被定位到一个名叫nvMultitask.exe的释放器上，当用户在http://www.skycn.net/和http://soft.hao123.com/这两个下载站下载任何软件时，都会被捆绑下载该释放器，进而向用户电脑植入这些可疑文件。需要强调的是，下载器运行后会立即在后台静默释放和执行释放器nvMultitask.exe，植入恶意代码，即使用户不做任何操作直接关闭下载器，恶意代码也会被植入。

　　根据分析和溯源，最迟到2016年9月，这些恶意代码即被制作完成。而操纵流量劫持的“远程开关”于近期被开启，被感染的电脑会被按照区域和时段等条件，或者是随机地被“选择”出来，进行流量劫持——安全业界称之为“云控劫持”。

　　被植入的恶意代码没有正常的用户卸载功能，也没有常规启动项，电脑每次开机时都会启动和更新恶意代码，恶意代码接收C&C服务器指令，行为受云端控制，并且会通过加载驱动，保护相关的注册表和文件不被删除。

　　因此，这些植入恶意代码的用户电脑成为长期被远程控制的“肉鸡”。

　　该恶意代码被远程启动后，会劫持各种互联网流量，用户的浏览器、首页、导航站都会被劫持，将流量输送给hao123导航站。同时，还会篡改电商网站、网站联盟广告等链接，用以获取这些网站的流量收入分成（详情在本报告第二章）。

　　综上所述，该恶意代码本身以及通过下载器植入用户电脑的行为，同时符合安全行业通行的若干个恶意代码定义标准，因此，火绒将这一恶意代码家族命名为“Rogue/NetReaper”（中文名：流量收割者）。升级到“火绒安全软件”最新版本，即可全面查杀、清除该类恶意代码。

【官方声明】

　　近日，百度证实了旗下网站下载软件暗含恶意代码事件，向公众公开致歉。而今日，百度官方推出一款专门查杀相关而已代码的程序。

　　这款工具名为“NetReaper专杀工具”，是一款下载器被捆绑恶意代码专杀工具，官方的说明文档为：

　　近日Hao123下载器被涉黑阵营利用，嵌入恶意劫持流量的代码，对用户、友商和百度都造成极大损害。本工具为下载器被捆绑恶意代码的专杀工具，用于一键清理捆绑恶意软件释放的相关文件。操作说明：下载后打开Cleaner.exe文件，点击“一键清除”按钮完成查杀，查杀后重启电脑即可完成下载器中捆绑恶意软件的清理。支持系统版本：x86：win xp/7/8/10x64：win 7/8/10

　　下载该工具（大小为274KB），查询程序的数字签名和证书信息后确认：这款专杀工具为Baidu Netcom Science and Technology Co.，Ltd中文名：百度网络科技公司推出，即为百度官方专杀工具。

　　查杀工具下载后无需安装，打开后直接点击“一键清除”即可自动扫描清理。