【AICon】 如何构建高效的 RAG 系统?RAG 技术在实际应用中遇到的挑战及应对策略?>>> 了解详情
写点什么

双十一成流氓推广狂欢节,每天侵扰千万用户

  • 2019-11-11
  • 本文字数:1365 字

    阅读完需:约 4 分钟

双十一成流氓推广狂欢节,每天侵扰千万用户

双十一,不仅是电商促销日,而且逐渐成为各大软件厂商进行流氓推广的“狂欢节”。



据火绒安全的分析报告,国内软件厂商为欺骗用户、规避安全软件监测,选择冒用其他安全软件名义进行广告推广,包括金山系软件( 金山毒霸、驱动精灵、猎豹浏览器等 )和驱动人生系软件( USB宝盒、券 GoGo、Realtek 音频管理器等)。


推广的形式,包括弹窗、创建快捷方式、托盘广告等。这种行为严重影响了用户的正常体验。



根据“火绒威胁情报系统”监测和评估,仅仅 11 月 7 日这一天,金山系软件和驱动人生系软件共同进行了数千万次推广行为,致使超过千万台终端受到影响。


火绒安全称,“这些软件会通过各种方式,试图规避安全软件监测。”


比如,金山系软件可通过 云控下发指令,且在弹窗时会监控当前环境中运行的安全分析工具、截图类软件,甚至会监听键盘输入,防止用户对其进行分析或截屏 ;

驱动人生系软件则会静默推广广告程序,并不定时弹出双十一相关广告内容。


“因这两类软件的行为符合安全厂商对广告程序的定义,火绒已对其进行查杀。”火绒安全表示。


附:火绒安全的分析报告


一、 金山广告模块分析


金山系软件(金山毒霸、驱动精灵、猎豹浏览器等)kwhcommonpop 模块会根据云控指令,随机将广告弹窗程序的文件名伪装成安全软件文件名,并且监控当前环境中运行的安全分析工具、截图类软件,甚至会监听键盘输入,防止用户对其进行分析或截屏。涉及软件,如下图所示:



在测试环境中,该广告程序多次伪装成 Avast、AVG 和赛门铁克等安全软件进程名。相关现象,如下图所示:



伪装成 Avast 的广告程序文件签名信息,如下图所示:



伪装进程名并重启后删除文件相关代码,如下图所示:



伪装安全软件进程名相关配置,如下图所示:



上述配置文件中所包含的安全软件程序名,所属安全厂商。如下图所示:



除此之外,kwhcommonpop 模块还会监控当前环境中的分析工具进程的启动,一旦发现存在配置中指定的分析工具,就会退出广告弹窗进程。相关代码,如下图所示:



相关配置,如下图所示:



当用户使用“PrintScreen”按键进行截图时,剪切板会被清空。相关代码,如下图所示:



相关配置,如下图所示:



二、 驱动人生广告模块分析


我们近期监测到具有流氓推广行为的驱动人生系软件主要包括:USB 宝盒、券 GoGo、Realtek 音频管理器等。我们仅以 Realtek 音频管理器为例,驱动人生近期曾疑似通过静默推广方式推广过旗下流氓软件,该软件目录中包含有一个名为 realtek.exe 的程序,该程序自称为“Realtek 音频管理器”,且该程序带有驱动人生有效数字签名。文件签名信息,如下图所示:



软件功能界面,如下图所示:



虽然根据程序界面显示具有一些软件音频配置修复类功能,但是在我们收到的众多用户反馈中,所有用户均对电脑中存在这一软件毫不知情,且没有使用过该软件所提供的任何功能。该软件目录中带有推广相关服务组件 AERTSrv.exe,该组件会调用 DTLPlugs 目录下的组件模块进行广告推广,组件被调用后会创建托盘广告弹窗。相关现象,如下图所示:



除此之外,最终被调用的弹窗程序还会伪装成卡巴斯基的进程名进行启动。相关代码,如下图所示:



伪装安全软件进程名现象,如下图所示:



相关代码包含有创建桌面快捷方式、弹窗广告、托盘广告、新闻 mini 页等功能,如下图所示:



创建双十一相关广告快捷方式相关代码,如下图所示:



参考文章


https://www.huorong.cn/info/1573220809390.html


2019-11-11 10:292436
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 331.2 次阅读, 收获喜欢 1792 次。

关注

评论

发布
暂无评论
发现更多内容

如何避免企业在碳排放数据上造假?

石云升

学习笔记 碳中和 碳交易

可以回答一下:Redis和mysql数据是怎么保持数据一致的嘛?

Java 程序员 后端

【Redis源码分析专题】(1)从本质分析你写入Redis中的数据为什么不见了?

洛神灬殇

redis Redis 核心技术与实战 11月日更 缓存驱逐

吐血总结——90%程序员面试都用得上的索引优化手册

Java 程序员 后端

可以回答一下:Redis和mysql数据是怎么保持数据一致的嘛?(1)

Java 程序员 后端

【高并发】SimpleDateFormat类到底为啥不是线程安全的?(附六种解决方案,建议收藏)

冰河

Java 并发编程 多线程 高并发 异步编程

听我讲完GET、POST原理,面试官给我倒了杯卡布奇诺

Java 程序员 后端

原来书中说的JVM默认垃圾回收器是错的!

Java 程序员 后端

同程内网流传的分布式凤凰缓存系统手册,竟遭GitHub强行开源下载

Java 程序员 后端

数据服务基础能力之元数据管理

数据分析 数据 元数据 数据管理 业务数据

喝了杯咖啡,我突然对MySQL锁、事务、MVCC-有了新的认识!

Java 程序员 后端

工作五年之后,对技术和业务的思考

程序员 技术 职场 互联网人 业务

又一巅峰神作!14年工作经验大佬出品“JVM&G1 GC深入学习手册”

Java 程序员 后端

活动预告|ArchSummit全球架构师峰会

第四范式开发者社区

史上最全Java面试266题:算法+缓存+TCP+JVM

Java 程序员 后端

吊打 ThreadLocal,谈谈FastThreadLocal为啥能这么快?

Java 程序员 后端

同事问我如何Java实现,搞定分析栈和队列数据结构的实现过程不就好了

Java 程序员 后端

哪有什么中年危机,不过是把定目标当成了有计划

Java 程序员 后端

万文讲解知乎实时数仓架构演进

大数据老哥

双非本科进不了大厂?阿里技术四面+交叉面+HR面,成功拿到offer

Java spring 程序员 mybatis

企业数字化转型的起手式是什么?

百度大脑

人工智能 百度

网络安全漏洞复现与分析

网络安全学海

网络安全 信息安全 渗透测试 WEB安全 漏洞挖掘

Apache Pulsar 在 BIGO 的性能调优实战(下)

Apache Pulsar

分布式 中间件 BIGO Apache Pulsar 消息系统 Apache BookKeeper

四、StringRedisTemplate 和RedisTemlate有什么不同

Java 程序员 后端

双非本科七面成功入职阿里面经分享!(附面试原题+复盘笔记)

Java 程序员 后端

双非本科毕业的我,为何能在金九银十期间斩获京东、字节、快手的offer

Java 程序员 后端

发量能决定一个程序员的水平吗

Java 程序员 后端

同一个Spring-AOP的坑,我一天踩了两次,深坑啊

Java 程序员 后端

同一份数据,Redis为什么要存两次

Java 程序员 后端

工作10年,面试超过500人想进阿里的同学,总结出的108道面试题

Java MySQL redis spring JVM

哭了,我居然回答不出来女同事的问题:索引为什么能提供查询性能---

Java 程序员 后端

双十一成流氓推广狂欢节,每天侵扰千万用户_安全_万佳_InfoQ精选文章