近日，不少网友反映自己的电脑无故安装了360安全卫士精简版。 工程师通过溯源发现，360安全卫士快捷版正在通过购买搜索引擎排名、弹窗提示等“诱导”手段进行推广和静默安装。 据火绒威胁情报系统监测，今年以来，已有超过1000万用户受到360系列软件上述促销行为的影响，且近期有大幅上升趋势。

值得注意的是，360安全卫士快捷版整个推广过程存在明显的对抗痕迹，即检测并规避 等众多安全软件，甚至利用系统程序隐藏推广行为（注入过程）。

360安全卫士快捷版的“诱导”促销有以下几种形式：

购买搜索引擎排名，是指利用其他搜索引擎和360搜索引擎的软件推广链接，诱导用户点击下载推广包，然后默默安装360安全卫士快捷版；

弹出提示，即用户安装的360系列软件弹出“清除垃圾文件”、“优化运行速度”等提示。 如果用户不注意小字安装说明，点击清理，360安全卫士就会静默安装。 极速版；

另外，360系列软件也会通过网络请求360下载安装模块。 涉及相关行为的软件进程包括：.exe（会安装360画报、360安全浏览器）、.exe（360安全浏览器服务组件）、360影视精选、360桌面助手等。

安全产品的“软件安装拦截”功能可以及时提示并帮助用户防范此类促销行为。

详细分析报告如下：

1. 详细分析

近期，火绒收到用户反馈，电脑上频繁安装360安全卫士快捷版。 通过对火绒威胁情报系统的后台监控，我们发现360安全卫士快捷版正在通过多种促销渠道进行诱导促销或静默促销。 主要渠道有：利用高速下载器的搜索引擎推广、360系列软件弹窗推广。 此外，发现360系列软件组件（.exe、.exe等）也会通过网络请求360下载并安装模块（.dll）。 360相关推广行为流程图：

促销流程图

经过研究发现，目前利用搜索引擎进行推广的方法有两大搜索引擎，分别是360搜索和Bing国内版。 以迅雷下载安装为例，通过360搜索后得到的结果如下图所示。 当用户点击红框内的安全下载时，实际下载的是360高速下载器程序：

360 搜索结果

使用Bing国内版搜索引擎进行搜索时，排名靠前的广告是360软件管家的推广广告。 当您点击该网站时，系统会提示您使用安全下载。 实际下载的也是360高速下载器程序。 搜索内容如下图所示：

Bing国内版搜索结果

360推广网站内容

当用户运行360高速下载器时，效果如下图：

跑360高速下载器

经过后台数据统计，搜索引擎推广趋势图如下：

利用搜索引擎推广趋势图

360系列软件采用弹窗诱导推广。 本地复现后发现360压缩利用促销弹窗诱导用户安装360安全卫士快捷版。 弹出窗口如下图所示。 它由 .exe 进程启动。 用户点击“垃圾清理”按钮后，360安全卫士快捷版会在后台静默下载并安装：

诱导促销弹窗

通过进一步分析，我们发现许多其他360系列软件也存在上述促销弹窗，诱导用户安装360安全卫士快捷版。 以下为部分360系列软件诱导促销弹窗截图。 可以发现，此类广告使用“清理垃圾文件”等词语来诱导用户点击安装：

360系列软件诱导促销弹窗

经过后台数据统计，360系列软件弹窗推广趋势图如下：

360系列软件弹窗归纳推广趋势图

另外，经过后台监控发现360系列软件也会通过网络请求360下载安装模块。 相关行为涉及的软件进程包括：.exe（会安装360画报、360安全浏览器）、.exe（360安全浏览器服务组件）、360影视、360桌面助手等。360系列软件请求360下载安装模块影响终端数量，如下图：

360系列软件请求推广模块趋势图

促销涉及的主要文档信息如下图所示：

高速下载器文件信息

诱导促销弹窗文件信息

查询模块文件信息

下载器文件信息

下载并安装模块文件信息

静默安装程序文件信息

360高速下载器模块

经分析发现，当用户电脑上安装时，高速下载器会直接调用浏览器下载对应的软件安装包，不会进行后续的静默安装操作； 如果电脑上没有安装，高速下载器会先静默下载并安装360安全卫士精简版，然后通过360软件管家下载软件安装包。 主要逻辑代码如下图所示。 有关检查并静默安装360安全卫士快捷版的详细信息，请参见“.dll下载和安装模块”：

360高速下载器判断逻辑

.dll诱导促销弹出模块

360系列软件会加载.dll模块并调用函数来执行诱导促销弹窗。 该函数的第一个参数是cid。 如果传入的cid不同，则会弹出相应的广告内容。 以360压缩为例，.exe进程调用函数时传入的cid为，相关代码如下图所示：

获取函数地址

通话功能

首先会检查当前主机的安全防护软件安装状态。 部分行为及报检代码如下图所示：

检查安全软件行为

检查防护软件安装状态并报告

检测到 时报告的数据

目前检查的防护软件列表如下：

防护软件列表

检查安全防护软件后，继续检查当前主机安装的浏览器并报告安装状态。 相关行为及代码如下图所示：

检查浏览器

检查并报告安装状态

目前检查的浏览器列表如下：

浏览器列表

检查并报告安装的软件后，将通过注册表值判断当前主机是否安装了360安全卫士，并获取最后一次促销弹窗的时间。 如果当天已经推送过弹窗，则不会执行后续逻辑。 获取促销弹窗时间相关代码如下：

查看最后一次促销弹出时间

上述检查通过后，会从网上下载升级列表配置文件，并解析传入的cid匹配的配置项。 相关代码如下图所示：

下载并解析.ini配置文件

函数内部会根据传入的cid解析得到[]中对应cid的配置。 相关代码及对应的配置文件内容如下所示：

解析配置文件内容

配置文件内容

在下载促销弹窗cab包之前，会尝试加载.dll来查询云策略，以确定是否弹窗。 当返回的策略值为pop:1或者策略获取失败时，会继续执行后续逻辑。 当策略为pop时：为0时，不会提升弹出窗口。 相关代码如下所示：

获取云策略

通过动态调试得到当前的云策略。 显示pop:0表示当前策略不推广弹窗。 这一云策略也对应了360系列软件弹出的归纳推广趋势图中10月16日之后的数据。 策略内容如下图所示：

当前的云战略

策略为无弹窗时程序退出

如果该策略满足弹出条件，则根据解析内容得到的配置内容，下载对应的促销弹窗包。 相关代码如下图所示：

下载促销弹窗图片包

下载促销弹出标志出租车包

下载的促销弹窗图片包内容如下图：

推广弹出图片cab包内容

推广弹出式徽标 cab 包内容

最后根据上面下载的推广弹窗文件创建弹窗广告，并根据不同的用户操作执行相应的代码逻辑。 相关代码如下图所示：

弹窗广告逻辑

在安装功能内部，360安全卫士快捷版是通过下载加载.dll动态库来静默下载加载的。 相关代码如下所示：

安装函数主要逻辑

从上面的代码可以看出有两种安装方式。 一是下载.exe（xxx代表随机名）程序加载.dll模块进行下载安装； 第二种是直接从当前的.dll中加载.dll模块来进行下载安装。 相关代码如下：

通过.exe下载

.dll直接加载.dll

除了上述的360安全卫士快捷版的推广安装外，发现安装功能内部还有其他360系列软件安装包下载和静默安装逻辑，但目前安装条件并未触发，因此它尚未被执行。 相关软件下载逻辑代码如下所示：

360桌面助手安装包下载及静默安装代码

360切换助手安装包下载及静默安装代码

360安全浏览器安装包下载及静默安装代码

360安全浏览器安装包下载及静默安装代码

360影视安装包下载及静默安装代码

.dll下载并安装模块

.dll动态库有多个导出函数，如下图：

.dll导出函数

本次推广安装主要涉及两个导出功能。 当通过.exe安装程序执行升级时，会首先调用该函数来判断主机是否安装了 。 如果已安装 ，该程序将退出。 如果未安装 ，则会执行间接调用函数进行下载安装。 检查 代码，如下所示。 显示：

通过注册表检查

由于字符串是加密的，经过动态调试和解密，如下图所示：

相关字符串的动态调试和解密

执行的函数中，主要逻辑代码如下图所示：

函数主要代码逻辑

函数内部会通过注入.exe进程将360安全卫士快捷版安装包下载到注入的dll中。 主要逻辑代码如下图所示：

注射

您可以使用 Sword观察注入的DLL并执行下载安装包的动作，如下图所示：

注入dll

通过注入方式下载360安全卫士快捷版安装包后，会继续从资源中解密静默安装程序（静默安装程序有随机名称），执行静默安装操作。 主要代码如下所示：

执行静默安装程序

可以观察最终的执行流程树如下图：

进程树

2. 附录

样本哈希值