“双11”成流氓软件狂欢节 侵权推广频次暴增200倍

2018-10-30 9,462


临近双十一,流氓软件开启一波推广高潮。用户只要安装"2345好压"、"2345看图"、"2345拼音"、"2345浏览器"等2345家族软件,都会被静默推广双十一快捷方式。根据"火绒威胁情报中心"监测和评估,10月20日-24日,全网平均每天遭到此类流氓软件推广骚扰的用户电脑高达1350余万台,日均推广次数为2550余万次,平均每台电脑每天都会受到2次以上的流氓推广。

image003.png 

根据上图可以看出,上述软件流氓推广次数在18、19日为8-10万次,20日急剧上升至1990余万次,约为此前的200倍,且在随后继续上升,最高达2598余万次。

此次推广分为两种方式,一种是桌面静默推广,会给用户创建一个名为"天猫双11十周年狂欢"的快捷方式;另一种是双十一广告弹窗。用户点击后,都会跳转至天猫双十一活动主页面。推广任务执行前,用户不会收到任何相关提示,且无法在软件中关闭推广功能。此外,软件厂商可随时远程修改推广内容和时间。

图片4.png 

火绒工程师特别提醒,随着双十一临近,流氓推广的数量也会越来越多。火绒用户可开启【防护中心】-【系统加固】功能对此类流氓软件的静默安装动作进行拦截(默认开启)。另外,双十一前后也是网购诈骗的高发期,想要在狂欢节血拼的网友们,对此也一定要提高警惕,以免遭受财产损失。


相关分析如下:

经过火绒分析发现,2345旗下四款软件安装后均会释放Helper_xxxx.exe程序(如:2345好压会Helper_Haozip.exe)。该程序运行后会加载%AppData%\Roaming\Helper_2345目录下的HelperMain.dll动态库,调用动态库导出函数HelperMain执行静默推广逻辑。广告推广配置相关资源被存放在%AppData%\Roaming\Helper_2345\Resource目录下,根据现有配置,推广动态库可以执行两种推广行为,分别为释放桌面快捷方式和弹出三种不同的广告弹窗。

静默释放推广快捷方式时火绒相关拦截日志,如下图所示:

image005.png 

火绒拦截日志

广告弹窗,如下图所示:

image006.jpg 

全屏广告弹窗

image007.png 

右下角广告弹窗

广告推广配置,如下图所示:

image008.png 

广告推广配置


本文作者:mini fox

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/78401.html

Tags:
评论  (0)
快来写下你的想法吧!

mini fox

文章数:35 积分: 92

火绒安全让所有人都可以安全、安静、自由地使用智能终端设备

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号