专栏首页用户6477171的专栏双十一成流氓推广狂欢节 单日侵扰千万量级电脑

双十一成流氓推广狂欢节 单日侵扰千万量级电脑

【快讯】

临近双十一,软件的流氓推广行为也变得疯狂。就在近期,火绒接到用户反馈,称疑似有国外“安全软件”在进行广告弹窗推广。火绒工程师远程排查,发现是国内软件厂商为了欺骗用户、规避安全软件监测,选择冒用其他安全软件名义进行广告推广,包括金山系软件(金山毒霸、驱动精灵、猎豹浏览器等)和驱动人生系软件(USB宝盒、券GoGo、Realtek音频管理器等)。

查杀图

根据“火绒威胁情报系统”监测和评估,仅11月7日当天,上述两类软件家族共同进行了数千万次推广行为,致超过千万台终端受到影响。推广的形式包括但不限于弹窗、创建快捷方式、托盘广告等等,严重影响用户的正常体验。

值得一提的是,这些软件会通过各种方式,试图规避安全软件监测。其中,金山系软件可以通过云控下发指令,且在弹窗时会监控当前环境中运行的安全分析工具、截图类软件,甚至会监听键盘输入,防止用户对其进行分析或截屏。驱动人生系软件则会静默推广广告程序,并不定时弹出双十一相关广告内容。由于这两类软件的行为符合安全厂商对广告程序的定义,火绒已对其进行查杀。

近年来,双十一已经成为电商约定的促销日,同时也逐渐成为各大软件厂商进行流氓推广的“狂欢节”。目前来看,除了一些日常的软件厂商在此期间大肆推广以外,甚至还有安全类厂商加入其中,企图分一杯羹,其行为与常见的流氓推广无异。在此,火绒呼吁广大软件厂商,在逐利的同时,也要守住商业底线,共同维护用户的权益,谋求长期发展。

附:【分析报告】

一、金山广告模块分析

金山系软件(金山毒霸、驱动精灵、猎豹浏览器等)kwhcommonpop模块会根据云控指令,随机将广告弹窗程序的文件名伪装成安全软件文件名,并且监控当前环境中运行的安全分析工具、截图类软件,甚至会监听键盘输入,防止用户对其进行分析或截屏。涉及软件,如下图所示:

相关软件列表

相关弹窗,如下图所示,其中ashavast.exe为仿冒的Avast进程名:

广告推广界面

在测试环境中,该广告程序多次伪装成Avast、AVG和赛门铁克等安全软件进程名。相关现象,如下图所示:

伪装成安全软件进程名的弹窗推广程序

伪装成Avast的广告程序文件签名信息,如下图所示:

文件签名信息

伪装进程名并重启后删除文件相关代码,如下图所示:

相关代码

伪装安全软件进程名相关配置,如下图所示:

相关配置

上述配置文件中所包含的安全软件程序名,所属安全厂商。如下图所示:

所属安全厂商

除此之外,kwhcommonpop模块还会监控当前环境中的分析工具进程的启动,一旦发现存在配置中指定的分析工具,就会退出广告弹窗进程。相关代码,如下图所示:

相关配置,如下图所示:

被检测的分析工具进程名

当用户使用“PrintScreen”按键进行截图时,剪切板会被清空。相关代码,如下图所示:

清空用户剪切板

相关配置,如下图所示:

相关配置

二、驱动人生广告模块分析

我们近期监测到具有流氓推广行为的驱动人生系软件主要包括:USB宝盒、券GoGo、Realtek音频管理器等。我们仅以Realtek音频管理器为例,驱动人生近期曾疑似通过静默推广方式推广过旗下流氓软件,该软件目录中包含有一个名为realtek.exe的程序,该程序自称为“Realtek音频管理器”,且该程序带有驱动人生有效数字签名。文件签名信息,如下图所示:

文件数字签名信息

软件功能界面,如下图所示:

音频管理器

虽然根据程序界面显示具有一些软件音频配置修复类功能,但是在我们收到的众多用户反馈中,所有用户均对电脑中存在这一软件毫不知情,且没有使用过该软件所提供的任何功能。该软件目录中带有推广相关服务组件AERTSrv.exe,该组件会调用DTLPlugs目录下的组件模块进行广告推广,组件被调用后会创建托盘广告弹窗。相关现象,如下图所示:

托盘广告

除此之外,最终被调用的弹窗程序还会伪装成卡巴斯基的进程名进行启动。相关代码,如下图所示:

伪装卡巴斯基进程名

伪装安全软件进程名现象,如下图所示:

伪装安全软件文件名

相关代码包含有创建桌面快捷方式、弹窗广告、托盘广告、新闻mini页等功能,如下图所示:

广告推广代码

创建双十一相关广告快捷方式相关代码,如下图所示:

创建桌面推广快捷方式

三、附录

样本hash

本文分享自微信公众号 - 火绒安全实验室(HuorongLab),作者:火绒安全实验室

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-11-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 今天你被“PUA”了吗?

    根据微软报告,将在近期进行一次大版本升级,此次更新中一项针对PUA的防护功能总算姗姗来迟。根据描述,开启该功能后,可以拦截广告软件、捆绑程序、静默安装等行为。

    用户6477171
  • 驱动精灵恶意投放后门程序 云控劫持流量、诱导推广

    双十一期间,火绒对金山系部分软件仿冒其它安全软件,进行广告推广的行为开启拦截查杀(报告见链接1)。随后,火绒接到不少用户反馈,称在已经卸载金山毒霸、驱动精灵等软...

    用户6477171
  • 火绒安全周报:英特尔再曝重量级AMT漏洞 谷歌浏览器发现恶意扩展

    芬兰网络安全公司F-Secure近日发现,英特尔主动管理技术(AMT)中存在安全漏洞,允许黑客绕过登录流程,并在30秒内完全控制目标设备,这项漏洞可能影响全球数...

    用户6477171
  • Maven配置文件settings.xml详解

    note:用户配置优先于全局配置。${user.home} 和和所有其他系统属性只能在3.0+版本上使用。请注意windows和Linux使用变量的区别。

    魏晓蕾
  • Go 内存管理 -- 内存分配 二

    首先会申请一段连续的内存空间以供使用,大小(64位机器上)512M(spans_mapped)+16G(bitmap_mapped)+512G(arena)。 ...

    邹志全
  • 不高兴的小明

    小明又出问题了。妈妈认为聪明的小明应该更加用功学习而变的更加厉害,所以小明除了上学之外,还要参加妈妈为他报名的各科复习班。另外每周妈妈还会送他去学习朗诵、舞蹈和...

    书童小二
  • python在sqlite中插入数据

    py3study
  • Side Window Filtering 论文解读和C++实现 转

    不管原来的滤波器保不保边,运用了side-window思想之后,都可以让它变成保边滤波!

    Ldpe2G
  • Side Window Filtering 论文解读和C++实现

    刚开始看到这篇论文的时候,我就很感兴趣想去复现一把看看效果。这篇论文是今年 CVPR oral 且不是深度学习方向的,其核心贡献点就是:不管原来的滤波器保不保边...

    Ldpe2G
  • 百度将发布首款智能视频音箱“小度在家”,李彦宏曾多次对外安利

    此前,全国政协委员、百度董事长李彦宏,曾在两会期间三次“安利”这款产品。只是当时并未透露,产品定名和发布日期。

    量子位

扫码关注云+社区

领取腾讯云代金券