双十一成流氓推广狂欢节,每天侵扰千万用户

阅读数:924 2019 年 11 月 11 日 10:29

双十一成流氓推广狂欢节,每天侵扰千万用户

双十一,不仅是电商促销日,而且逐渐成为各大软件厂商进行流氓推广的“狂欢节”。

双十一成流氓推广狂欢节,每天侵扰千万用户

据火绒安全的分析报告,国内软件厂商为欺骗用户、规避安全软件监测,选择冒用其他安全软件名义进行广告推广,包括金山系软件( 金山毒霸、驱动精灵、猎豹浏览器等 )和驱动人生系软件( USB 宝盒、券 GoGo、Realtek 音频管理器等)。

推广的形式,包括弹窗、创建快捷方式、托盘广告等。这种行为严重影响了用户的正常体验。

双十一成流氓推广狂欢节,每天侵扰千万用户

根据“火绒威胁情报系统”监测和评估,仅仅 11 月 7 日这一天,金山系软件和驱动人生系软件共同进行了数千万次推广行为,致使超过千万台终端受到影响。

火绒安全称,“这些软件会通过各种方式,试图规避安全软件监测。”

比如,金山系软件可通过 云控下发指令,且在弹窗时会监控当前环境中运行的安全分析工具、截图类软件,甚至会监听键盘输入,防止用户对其进行分析或截屏 ;

驱动人生系软件则会静默推广广告程序,并不定时弹出双十一相关广告内容。

“因这两类软件的行为符合安全厂商对广告程序的定义,火绒已对其进行查杀。”火绒安全表示。

附:火绒安全的分析报告

一、 金山广告模块分析

金山系软件(金山毒霸、驱动精灵、猎豹浏览器等)kwhcommonpop 模块会根据云控指令,随机将广告弹窗程序的文件名伪装成安全软件文件名,并且监控当前环境中运行的安全分析工具、截图类软件,甚至会监听键盘输入,防止用户对其进行分析或截屏。涉及软件,如下图所示:

双十一成流氓推广狂欢节,每天侵扰千万用户

在测试环境中,该广告程序多次伪装成 Avast、AVG 和赛门铁克等安全软件进程名。相关现象,如下图所示:

双十一成流氓推广狂欢节,每天侵扰千万用户

伪装成 Avast 的广告程序文件签名信息,如下图所示:

双十一成流氓推广狂欢节,每天侵扰千万用户

伪装进程名并重启后删除文件相关代码,如下图所示:

双十一成流氓推广狂欢节,每天侵扰千万用户

伪装安全软件进程名相关配置,如下图所示:

双十一成流氓推广狂欢节,每天侵扰千万用户

上述配置文件中所包含的安全软件程序名,所属安全厂商。如下图所示:

双十一成流氓推广狂欢节,每天侵扰千万用户

除此之外,kwhcommonpop 模块还会监控当前环境中的分析工具进程的启动,一旦发现存在配置中指定的分析工具,就会退出广告弹窗进程。相关代码,如下图所示:

双十一成流氓推广狂欢节,每天侵扰千万用户

相关配置,如下图所示:

双十一成流氓推广狂欢节,每天侵扰千万用户

当用户使用“PrintScreen”按键进行截图时,剪切板会被清空。相关代码,如下图所示:

双十一成流氓推广狂欢节,每天侵扰千万用户

相关配置,如下图所示:

双十一成流氓推广狂欢节,每天侵扰千万用户

二、 驱动人生广告模块分析

我们近期监测到具有流氓推广行为的驱动人生系软件主要包括:USB 宝盒、券 GoGo、Realtek 音频管理器等。我们仅以 Realtek 音频管理器为例,驱动人生近期曾疑似通过静默推广方式推广过旗下流氓软件,该软件目录中包含有一个名为 realtek.exe 的程序,该程序自称为“Realtek 音频管理器”,且该程序带有驱动人生有效数字签名。文件签名信息,如下图所示:

双十一成流氓推广狂欢节,每天侵扰千万用户

软件功能界面,如下图所示:

双十一成流氓推广狂欢节,每天侵扰千万用户

虽然根据程序界面显示具有一些软件音频配置修复类功能,但是在我们收到的众多用户反馈中,所有用户均对电脑中存在这一软件毫不知情,且没有使用过该软件所提供的任何功能。该软件目录中带有推广相关服务组件 AERTSrv.exe,该组件会调用 DTLPlugs 目录下的组件模块进行广告推广,组件被调用后会创建托盘广告弹窗。相关现象,如下图所示:

双十一成流氓推广狂欢节,每天侵扰千万用户

除此之外,最终被调用的弹窗程序还会伪装成卡巴斯基的进程名进行启动。相关代码,如下图所示:

双十一成流氓推广狂欢节,每天侵扰千万用户

伪装安全软件进程名现象,如下图所示:

双十一成流氓推广狂欢节,每天侵扰千万用户

相关代码包含有创建桌面快捷方式、弹窗广告、托盘广告、新闻 mini 页等功能,如下图所示:

双十一成流氓推广狂欢节,每天侵扰千万用户

创建双十一相关广告快捷方式相关代码,如下图所示:

双十一成流氓推广狂欢节,每天侵扰千万用户

参考文章

https://www.huorong.cn/info/1573220809390.html

评论

发布