近日,不少网友反映电脑无故安装了360安全卫士至尊版。 火绒工程师溯源发现360浏览器登录,360安全卫士快捷版目前正在通过购买搜索引擎排名、弹出提示等“诱导”手段进行默默推广和安装。 据火绒威胁情报系统监测,今年以来,已有超过千万用户受到360系列软件上述推广行为的影响,且呈现急剧上升趋势。不久的将来。
值得注意的是,360安全卫士至尊版整个推广过程存在明显的对抗痕迹,即检测并规避火绒安全等各类安全软件,甚至利用系统程序隐藏推广行为(注入过程) 。
360安全卫士至尊版“归纳”推广呈现以下形式:
购买搜索引擎排名,即利用其他搜索引擎和360搜索引擎软件推广链接,诱导用户点击下载推广包,然后默默安装360安全卫士至尊版;
弹窗提示,即用户安装的360系列软件弹出“清除垃圾文件”、“运行速度优化”等提示。 如果用户不注意小字安装说明,点击清理,360安全卫士就会静默安装至尊版;
另外,360系列软件也会通过网络请求360下载安装模块。 相关活动涉及的软件进程包括:.exe(360画报、360安全浏览器会随其安装)、.exe(360安全浏览器服务组件)、360视频大全、360桌面助手等。
火绒安全产品的“软件安装拦截”功能可以及时提示并帮助用户防范此类促销行为。
详细分析报告如下:
详细分析
近期,火绒收到用户反馈,电脑上频繁安装360安全卫士至尊版。 通过火绒威胁情报系统后台监控,我们发现360安全卫士至尊版正在通过多种推广渠道进行诱导或默默推广。 主要渠道有:利用高速下载器的搜索引擎推广、360系列软件弹窗推广。 此外,火绒发现360系列软件组件(.exe、.exe等)也会通过网络请求360下载安装模块(.dll)。 360相关促销行为流程图:
利用搜索引擎进行推广的方法经调查发现,目前主要有两大搜索引擎,即360搜索和国内版Bing。 以下载安装迅雷为例,通过360搜索后得到的结果如下图所示。 当用户点击红框内的安全下载时,实际下载的是360高速下载器程序:
360 搜索结果
使用必应国内版搜索引擎进行搜索时,360软件管家的推广广告排名第一。 当您点击该网站时,系统会提示您使用安全下载。 实际下载的也是360高速下载器程序。 搜索内容如下图所示:
Bing国内版搜索结果
360推广网站内容
当用户运行360高速下载器时,效果如下图所示:
跑360高速下载器
经过后台数据统计,搜索引擎推广趋势图如下:
利用搜索引擎推广趋势图
360系列软件采用弹窗诱导推广。 本地复现后发现,360压缩利用推广弹窗诱导用户安装360安全卫士至尊版。 弹出窗口如下图所示。 “垃圾清理”按钮会在后台静默下载并安装360安全卫士快捷版:
诱导促销弹窗
通过进一步分析,发现其他360系列软件也存在上述推广弹窗诱导用户安装360安全卫士至尊版的行为。 以下为部分360系列软件感应促销弹窗截图。 可以发现,这些广告均使用“清理垃圾文件”等词语来诱导用户点击安装:
360系列软件诱导促销弹窗
经过后台数据统计,360系列软件弹窗诱导推广趋势图如下:
360系列软件弹窗诱导推广趋势图
另外,经过后台监控发现360系列软件也会通过网络请求360下载安装模块。 安全浏览器服务组件)、360视频大全、360桌面助手等。360系列软件请求360下载安装该模块影响的终端数量,如下图所示:
360系列软件请求推广模块趋势图
促销涉及的主要文件信息如下图所示:
高速下载器文件信息
诱导推广弹窗文件信息
查询模块文件信息
下载器文件信息
下载并安装模块文件信息
静默安装程序文件信息
360高速下载器模块
经分析发现,当火绒安装在用户电脑中时,高速下载器会直接调用浏览器下载相应的软件安装包,而不会进行后续的静默安装操作; 如果电脑中没有安装火绒,高速下载器会先静默下载并安装360安全卫士至尊版,然后通过360软件管家下载软件安装包。 主要逻辑代码如下图所示。 检查火绒和静默安装360安全卫士至尊版的具体代码参见“.dll下载安装模块”:
360高速下载器判断逻辑
.dll诱导并提升弹窗模块
360系列软件会加载.dll模块并调用函数执行诱导促销弹窗。 该函数第一个参数是cid,传入的cid不同就会弹出对应的广告内容。 以360压缩为例,.exe进程调用函数时传入的cid为,相关代码如下图所示:
获取函数地址
通话功能
首先会检查当前主机安全防护软件的安装状态,部分行为及检查报告代码如下图所示:
检查安全软件行为
检查防护软件安装情况并报告
检测到 时报告的数据
目前将检查的防护软件列表如下:
防护软件列表
检查安全防护软件后,继续检查当前主机安装的浏览器,并报告安装状态。 相关行为及代码如下图所示:
检查浏览器
检查并报告安装状态
当前将检查的浏览器列表如下:
浏览器列表
检查并上报安装的软件后,会通过注册表值判断当前主机是否安装了360安全卫士,并获取上次升级弹窗的时间。 如果当天弹窗已经推送,则后续逻辑不会执行。 获取促销弹窗时间的相关代码如下图所示:
查看最后一次促销弹出时间
上述检查通过后,会在线下载升级列表配置文件,解析并匹配传入的cid对应的配置项。 相关代码如下图所示:
下载并解析.ini配置文件
函数内部会根据传入的cid360浏览器登录,分析并获取[]中cid对应的配置。 相关代码以及对应的配置文件内容如下图所示:
解析配置文件内容
配置文件内容
在下载促销弹窗cab包之前,会尝试加载.dll查询云策略来判断是否弹窗。 当返回的策略值为pop:1或者策略获取失败时,会继续执行后续逻辑。 当为pop时:为0时,不会推送弹窗,相关代码如下图所示:
获取云策略
通过动态调试获取当前云策略,显示pop:0,表示当前策略不推广弹窗。 此次云政策也对应了360系列软件弹出感应推广趋势图中10月16日之后的数据。 政策内容如下图所示:
当前的云战略
策略为无弹窗时程序退出
如果策略满足弹窗条件,则根据解析内容得到的配置内容下载对应的促销弹窗cab包。 相关代码如下图所示:
下载促销弹窗图片包
下载促销弹出窗口徽标出租车包
下载的促销弹图cab包内容如下图所示:
促销弹出图片出租车套餐内容
促销弹窗标志出租车套餐内容
最后,根据上述下载的推广弹窗文件制作弹窗广告,并根据用户的不同操作执行相应的代码逻辑。 相关代码如下图所示:
弹出广告逻辑
在安装功能内部,360安全卫士至尊版是通过下载加载.dll的动态库来静默下载加载的。 相关代码如下图所示:
安装函数主要逻辑
从上面的代码可以看出,有两种安装方式,一种是下载.exe(xxx表示随机名)程序加载.dll模块进行下载安装; 二是针对当前的.dll直接加载.dll模块进行下载安装。 相关代码如下:
通过.exe下载
.dll直接加载.dll
除了上述的360安全卫士至尊版的推广安装外,发现安装功能中还有其他360系列软件安装包下载和静默安装逻辑
,但目前没有触发安装条件,所以没有被执行。 相关软件下载逻辑代码如下图所示:
360桌面助手安装包下载及静默安装代码
360换机助手安装包下载及静默安装代码
360安全浏览器安装包下载及静默安装代码
360安全浏览器安装包下载及静默安装代码
360影视大全安装包下载及静默安装代码
.dll下载并安装模块
.dll这个动态库有多个导出函数,如下图:
.dll 导出函数
本次促销装置主要涉及和两个导出功能。 当通过.exe安装程序执行升级时,会首先调用该函数判断主机是否安装了 ,如果安装了 ,程序就会退出。 显示:
通过注册表检查
由于字符串是加密的,经过动态调试和解密,如下图所示:
相关字符串的动态调试和解密
执行的函数中,主要逻辑代码如下图所示:
函数主要代码逻辑
函数内部会注入.exe进程,并在注入的dll中下载360安全卫士至尊版安装包。 主要逻辑代码如下图所示:
注射
使用 Sword可以观察被注入的dll并执行下载安装包的行为,如下图所示:
被注入到dll中
通过注入下载360安全卫士至尊版安装包后,会继续从资源中解密静默安装程序(静默安装程序是随机名称),执行静默安装操作。 主要代码如下图所示:
执行静默安装程序
使用它可以观察到最终的执行流程树如下图所示:
进程树
附录
样本哈希值
版权保护: 本文由 浏览器之家-浏览器下载,浏览器插件,浏览器教程 原创,转载请保留链接: /360/7608.html
