临近双十一,流氓软件开启一波推广高潮。用户只要安装”2345好压”、”2345看图”、”2345拼音”、”2345浏览器”等2345家族软件,都会被静默推广双十一快捷方式。
事件解构
根据”火绒威胁情报中心”监测和评估,10月20日-24日,全网平均每天遭到此类流氓软件推广骚扰的用户电脑高达1350余万台,日均推广次数为2550余万次,平均每台电脑每天都会受到2次以上的流氓推广。
根据上图可以看出,上述软件流氓推广次数在18、19日为8-10万次,20日急剧上升至1990余万次,约为此前的200倍,且在随后继续上升,最高达2598余万次。
此次推广分为两种方式,一种是桌面静默推广,会给用户创建一个名为”天猫双11十周年狂欢”的快捷方式;另一种是双十一广告弹窗。用户点击后,都会 跳转至天猫双十一活动主页面。推广任务执行前,用户不会收到任何相关提示,且无法在软件中关闭推广功能。此外,软件厂商可随时远程修改推广内容和时间。
火绒工程师特别提醒,随着双十一临近,流氓推广的数量也会越来越多。火绒用户可开启【防护中心】-【系统加固】功能对此类流氓软件的静默安装动作进 行拦截(默认开启)。另外,双十一前后也是网购诈骗的高发期,想要在狂欢节血拼的网友们,对此也一定要提高警惕,以免遭受财产损失。
相关分析如下:
经过火绒分析发现,2345旗下四款软件安装后均会释放Helper_xxxx.exe程序(如:2345好压会 Helper_Haozip.exe)。该程序运行后会加载%AppData%\Roaming\Helper_2345目录下的 HelperMain.dll动态库,调用动态库导出函数HelperMain执行静默推广逻辑。广告推广配置相关资源被存放 在%AppData%\Roaming\Helper_2345\Resource目录下,根据现有配置,推广动态库可以执行两种推广行为,分别为释放桌 面快捷方式和弹出三种不同的广告弹窗。
静默释放推广快捷方式时火绒相关拦截日志,如下图所示:
火绒拦截日志
广告弹窗,如下图所示:
全屏广告弹窗
右下角广告弹窗
广告推广配置,如下图所示:
广告推广配置
*本文作者:火绒安全,转载请注明来自FreeBuf.COM
,