臨近雙十一,軟件的流氓推廣行為也變得瘋狂。就在近期,火絨接到用戶反饋,稱疑似有國外“安全軟件”在進行廣告彈窗推廣。火絨工程師遠程排查,發現是國內軟件廠商為了欺騙用戶、規避安全軟件監測,選擇冒用其他安全軟件名義進行廣告推廣,包括金山系軟件(金山毒霸、驅動精靈、獵豹瀏覽器等)和驅動人生系軟件(USB寶盒、券GoGo、Realtek音頻管理器等)。
查殺圖
根據“火絨威脅情報系統”監測和評估,僅11月7日當天,上述兩類軟件家族共同進行了數千萬次推廣行為,致超過千萬臺終端受到影響。推廣的形式包括但不限於彈窗、創建快捷方式、托盤廣告等等,嚴重影響用戶的正常體驗。
值得一提的是,這些軟件會通過各種方式,試圖規避安全軟件監測。其中,金山系軟件可以通過雲控下發指令,且在彈窗時會監控當前環境中運行的安全分析工具、截圖類軟件,甚至會監聽鍵盤輸入,防止用戶對其進行分析或截屏。驅動人生系軟件則會靜默推廣廣告程序,並不定時彈出雙十一相關廣告內容。由於這兩類軟件的行為符合安全廠商對廣告程序的定義,火絨已對其進行查殺。
近年來,雙十一已經成為電商約定的促銷日,同時也逐漸成為各大軟件廠商進行流氓推廣的“狂歡節”。目前來看,除了一些日常的軟件廠商在此期間大肆推廣以外,甚至還有安全類廠商加入其中,企圖分一杯羹,其行為與常見的流氓推廣無異。在此,火絨呼籲廣大軟件廠商,在逐利的同時,也要守住商業底線,共同維護用戶的權益,謀求長期發展。
附:【分析報告】
一、 金山廣告模塊分析
金山系軟件(金山毒霸、驅動精靈、獵豹瀏覽器等)kwhcommonpop模塊會根據雲控指令,隨機將廣告彈窗程序的文件名偽裝成安全軟件文件名,並且監控當前環境中運行的安全分析工具、截圖類軟件,甚至會監聽鍵盤輸入,防止用戶對其進行分析或截屏。涉及軟件,如下圖所示:
相關軟件列表
相關彈窗,如下圖所示,其中ashavast.exe為仿冒的Avast進程名:
廣告推廣界面
在測試環境中,該廣告程序多次偽裝成Avast、AVG和賽門鐵克等安全軟件進程名。相關現象,如下圖所示:
偽裝成安全軟件進程名的彈窗推廣程序
偽裝成Avast的廣告程序文件簽名信息,如下圖所示:
文件簽名信息
偽裝進程名並重啟後刪除文件相關代碼,如下圖所示:
相關代碼
偽裝安全軟件進程名相關配置,如下圖所示:
相關配置
上述配置文件中所包含的安全軟件程序名,所屬安全廠商。如下圖所示:
所屬安全廠商
除此之外,kwhcommonpop模塊還會監控當前環境中的分析工具進程的啟動,一旦發現存在配置中指定的分析工具,就會退出廣告彈窗進程。相關代碼,如下圖所示:
相關配置,如下圖所示:
被檢測的分析工具進程名
當用戶使用“PrintScreen”按鍵進行截圖時,剪切板會被清空。相關代碼,如下圖所示:
清空用戶剪切板
相關配置,如下圖所示:
相關配置
二、 驅動人生廣告模塊分析
我們近期監測到具有流氓推廣行為的驅動人生系軟件主要包括:USB寶盒、券GoGo、Realtek音頻管理器等。我們僅以Realtek音頻管理器為例,驅動人生近期曾疑似通過靜默推廣方式推廣過旗下流氓軟件,該軟件目錄中包含有一個名為realtek.exe的程序,該程序自稱為“Realtek音頻管理器”,且該程序帶有驅動人生有效數字簽名。文件簽名信息,如下圖所示:
文件數字簽名信息
軟件功能界面,如下圖所示:
音頻管理器
雖然根據程序界面顯示具有一些軟件音頻配置修復類功能,但是在我們收到的眾多用戶反饋中,所有用戶均對電腦中存在這一軟件毫不知情,且沒有使用過該軟件所提供的任何功能。該軟件目錄中帶有推廣相關服務組件AERTSrv.exe,該組件會調用DTLPlugs目錄下的組件模塊進行廣告推廣,組件被調用後會創建托盤廣告彈窗。相關現象,如下圖所示:
托盤廣告
除此之外,最終被調用的彈窗程序還會偽裝成卡巴斯基的進程名進行啟動。相關代碼,如下圖所示:
偽裝卡巴斯基進程名
偽裝安全軟件進程名現象,如下圖所示:
偽裝安全軟件文件名
相關代碼包含有創建桌面快捷方式、彈窗廣告、托盤廣告、新聞mini頁等功能,如下圖所示:
廣告推廣代碼
創建雙十一相關廣告快捷方式相關代碼,如下圖所示:
創建桌面推廣快捷方式
三、 附錄
樣本hash
閱讀更多 黑蓮花Plus 的文章
