[技术分析]雙十一成流氓推廣狂歡節 單日侵擾千萬量級電腦

查殺圖 根據“火絨威脅情報系統”監測和評估,僅11月7日當天,上述兩類軟件家族共同進行了數千萬次推廣行為,致超過千萬台終端受到影響。推廣的形式包括但不限於彈窗、創建快捷方式、托盤廣告等等,嚴重影響用戶的正常體驗。 值得一提的是,這些軟件會通過各種方式,試圖規避安全軟件監測。其中,金山系軟件可以通過雲控下髮指令,且在彈窗時會監控當前環境中運行的安全分析工具、截圖類軟件,甚至會監聽鍵盤輸入,防止用戶對其進行分析或截屏。驅動人生系軟件則會靜默推廣廣告程序,並不定時彈出雙十一相關廣告內容。由於這兩類軟件的行為符合安全廠商對廣告程序的定義,火絨已對其進行查殺。 近年來,雙十一已經成為電商約定的促銷日,同時也逐漸成為各大軟件廠商進行流氓推廣的“狂歡節”。目前來看,除了一些日常的軟件廠商在此期間大肆推廣以外,甚至還有安全類廠商加入其中,企圖分一杯羹,其行為與常見的流氓推廣無異。在此,火絨呼籲廣大軟件廠商,在逐利的同時,也要守住商業底線,共同維護用戶的權益,謀求長期發展。 附:【分析報告】 一、 金山廣告模塊分析 金山系軟件(金山毒霸、驅動精靈、獵​​豹瀏覽器等)kwhcommonpop模塊會根據云控指令,隨機將廣告彈窗程序的文件名偽裝成安全軟件文件名,並且監控當前環境中運行的安全分析工具、截圖類軟件,甚至會監聽鍵盤輸入,防止用戶對其進行分析或截屏。涉及軟件,如下圖所示: 相關軟件列表 相關彈窗,如下圖所示,其中ashavast.exe為仿冒的Avast進程名: 廣告推廣界面 在測試環境中,該廣告程序多次偽裝成Avast、AVG和賽門鐵克等安全軟件進程名。相關現象,如下圖所示: 偽裝成安全軟件進程名的彈窗推廣程序 偽裝成Avast的廣告程序文件簽名信息,如下圖所示: 文件簽名信息 偽裝進程名並重啟後刪除文件相關代碼,如下圖所示: 相關代碼 偽裝安全軟件進程名相關配置,如下圖所示: 相關配置 上述配置文件中所包含的安全軟件程序名,所屬安全廠商。如下圖所示: 所屬安全廠商 除此之外,kwhcommonpop模塊還會監控當前環境中的分析工具進程的啟動,一旦發現存在配置中指定的分析工具,就會退出廣告彈窗進程。相關代碼,如下圖所示: 相關配置,如下圖所示: 被檢測的分析工具進程名 當用戶使用“PrintScreen”按鍵進行截圖時,剪切板會被清空。相關代碼,如下圖所示: 清空用戶剪切板 相關配置,如下圖所示: 相關配置 二、 驅動人生廣告模塊分析 我們近期監測到具有流氓推廣行為的驅動人生系軟件主要包括:USB寶盒、券GoGo、Realtek音頻管理器等。我們僅以Realtek音頻管理器為例,驅動人生近期曾疑似通過靜默推廣方式推廣過旗下流氓軟件,該軟件目錄中包含有一個名為realtek.exe的程序,該程序自稱為“Realtek音頻管理器” ,且該程序帶有驅動人生有效數字簽名。文件簽名信息,如下圖所示: 文件數字簽名信息 軟件功能界面,如下圖所示: 音頻管理器 雖然根據程序界面顯示具有一些軟件音頻配置修復類功能,但是在我們收到的眾多用戶反饋中,所有用戶均對電腦中存在這一軟件毫不知情,且沒有使用過該軟件所提供的任何功能。該軟件目錄中帶有推廣相關服務組件AERTSrv.exe,該組件會調用DTLPlugs目錄下的組件模塊進行廣告推廣,組件被調用後會創建托盤廣告彈窗。相關現象,如下圖所示: 托盤廣告 除此之外,最終被調用的彈窗程序還會偽裝成卡巴斯基的進程名進行啟動。相關代碼,如下圖所示: 偽裝卡巴斯基進程名 偽裝安全軟件進程名現象,如下圖所示: 偽裝安全軟件文件名 相關代碼包含有創建桌面快捷方式、彈窗廣告、托盤廣告、新聞mini頁等功能,如下圖所示: 廣告推廣代碼 創建雙十一相關廣告快捷方式相關代碼,如下圖所示: 創建桌面推廣快捷方式 三、 附錄 樣本hash .