臨近雙十一，軟件的流氓推廣行為也變得瘋狂。就在近期，火絨接到用戶反饋，稱疑似有國外“安全軟件”在進行廣告彈窗推廣?；鸾q工程師遠程排查，發(fā)現(xiàn)是國內(nèi)軟件廠商為了欺騙用戶、規(guī)避安全軟件監(jiān)測，選擇冒用其他安全軟件名義進行廣告推廣，包括金山系軟件（金山毒霸、驅(qū)動精靈、獵豹瀏覽器等）和驅(qū)動人生系軟件（USB寶盒、券GoGo、Realtek音頻管理器等）。

 

 

根據(jù)“火絨威脅情報系統(tǒng)”監(jiān)測和評估，僅11月7日當天，上述兩類軟件家族共同進行了數(shù)千萬次推廣行為，致超過千萬臺終端受到影響。推廣的形式包括但不限于彈窗、創(chuàng)建快捷方式、托盤廣告等等，嚴重影響用戶的正常體驗。

值得一提的是，這些軟件會通過各種方式，試圖規(guī)避安全軟件監(jiān)測。其中，金山系軟件可以通過云控下發(fā)指令，且在彈窗時會監(jiān)控當前環(huán)境中運行的安全分析工具、截圖類軟件，甚至會監(jiān)聽鍵盤輸入，防止用戶對其進行分析或截屏。驅(qū)動人生系軟件則會靜默推廣廣告程序，并不定時彈出雙十一相關廣告內(nèi)容。由于這兩類軟件的行為符合安全廠商對廣告程序的定義，火絨已對其進行查殺。

近年來，雙十一已經(jīng)成為電商約定的促銷日，同時也逐漸成為各大軟件廠商進行流氓推廣的“狂歡節(jié)”。目前來看，除了一些日常的軟件廠商在此期間大肆推廣以外，甚至還有安全類廠商加入其中，企圖分一杯羹，其行為與常見的流氓推廣無異。在此，火絨呼吁廣大軟件廠商，在逐利的同時，也要守住商業(yè)底線，共同維護用戶的權(quán)益，謀求長期發(fā)展。

 

附：【分析報告】

一、 金山廣告模塊分析

金山系軟件（金山毒霸、驅(qū)動精靈、獵豹瀏覽器等）kwhcommonpop模塊會根據(jù)云控指令，隨機將廣告彈窗程序的文件名偽裝成安全軟件文件名，并且監(jiān)控當前環(huán)境中運行的安全分析工具、截圖類軟件，甚至會監(jiān)聽鍵盤輸入，防止用戶對其進行分析或截屏。涉及軟件，如下圖所示：

 

 

相關彈窗，如下圖所示，其中ashavast.exe為仿冒的Avast進程名：

 

 

在測試環(huán)境中，該廣告程序多次偽裝成Avast、AVG和賽門鐵克等安全軟件進程名。相關現(xiàn)象，如下圖所示：

 

 

偽裝成Avast的廣告程序文件簽名信息，如下圖所示

 

 

偽裝進程名并重啟后刪除文件相關代碼，如下圖所示：

 

 

偽裝安全軟件進程名相關配置，如下圖所示：

 

 

上述配置文件中所包含的安全軟件程序名，所屬安全廠商。如下圖所示：

 

 

除此之外，kwhcommonpop模塊還會監(jiān)控當前環(huán)境中的分析工具進程的啟動，一旦發(fā)現(xiàn)存在配置中指定的分析工具，就會退出廣告彈窗進程。相關代碼，如下圖所示：

 

 

相關配置，如下圖所示：

 

 

當用戶使用“PrintScreen”按鍵進行截圖時，剪切板會被清空。相關代碼，如下圖所示：

 

 

相關配置，如下圖所示：

 

 

 

二、 驅(qū)動人生廣告模塊分析

我們近期監(jiān)測到具有流氓推廣行為的驅(qū)動人生系軟件主要包括：USB寶盒、券GoGo、Realtek音頻管理器等。我們僅以Realtek音頻管理器為例，驅(qū)動人生近期曾疑似通過靜默推廣方式推廣過旗下流氓軟件，該軟件目錄中包含有一個名為realtek.exe的程序，該程序自稱為“Realtek音頻管理器”，且該程序帶有驅(qū)動人生有效數(shù)字簽名。文件簽名信息，如下圖所示：

 

 

軟件功能界面，如下圖所示：

 

 

雖然根據(jù)程序界面顯示具有一些軟件音頻配置修復類功能，但是在我們收到的眾多用戶反饋中，所有用戶均對電腦中存在這一軟件毫不知情，且沒有使用過該軟件所提供的任何功能。該軟件目錄中帶有推廣相關服務組件AERTSrv.exe，該組件會調(diào)用DTLPlugs目錄下的組件模塊進行廣告推廣，組件被調(diào)用后會創(chuàng)建托盤廣告彈窗。相關現(xiàn)象，如下圖所示：

 

 

除此之外，最終被調(diào)用的彈窗程序還會偽裝成卡巴斯基的進程名進行啟動。相關代碼，如下圖所示：

 

 

偽裝安全軟件進程名現(xiàn)象，如下圖所示：

 

 

相關代碼包含有創(chuàng)建桌面快捷方式、彈窗廣告、托盤廣告、新聞mini頁等功能，如下圖所示：

 

 

創(chuàng)建雙十一相關廣告快捷方式相關代碼，如下圖所示：

 

 

三、 附錄

樣本hash