360安全卫士极速版“诱导式”推广呈现大幅上升趋势

360安全卫士极速版“诱导式”推广呈现大幅上升趋势

2024-11-17 04:16

近日，不少网友反映自己的电脑无故安装了360安全卫士精简版。工程师通过溯源发现，360安全卫士快捷版正在通过购买搜索引擎排名、弹窗提示等“诱导”手段进行推广和静默安装。据火绒威胁情报系统监测，今年以来，已有超过1000万用户受到360系列软件上述促销行为的影响，且近期有大幅上升趋势。

值得注意的是，360安全卫士快捷版整个推广过程存在明显的对抗痕迹，即检测并规避等众多安全软件，甚至利用系统程序隐藏推广行为（注入过程）。

360安全卫士快捷版的“诱导”促销有以下几种形式：

购买搜索引擎排名，是指利用其他搜索引擎和360搜索引擎的软件推广链接，诱导用户点击下载推广包，然后默默安装360安全卫士快捷版；

弹出提示，即用户安装的360系列软件弹出“清除垃圾文件”、“优化运行速度”等提示。如果用户不注意小字安装说明，点击清理，360安全卫士就会静默安装。极速版；

另外，360系列软件也会通过网络请求360下载安装模块。涉及相关行为的软件进程包括：.exe（会安装360画报、360安全浏览器）、.exe（360安全浏览器服务组件）、360影视精选、360桌面助手等。

安全产品的“软件安装拦截”功能可以及时提示并帮助用户防范此类促销行为。

详细分析报告如下：

1. 详细分析

近期，火绒收到用户反馈，电脑上频繁安装360安全卫士快捷版。通过对火绒威胁情报系统的后台监控，我们发现360安全卫士快捷版正在通过多种促销渠道进行诱导促销或静默促销。主要渠道有：利用高速下载器的搜索引擎推广、360系列软件弹窗推广。此外，发现360系列软件组件（.exe、.exe等）也会通过网络请求360下载并安装模块（.dll）。 360相关推广行为流程图：

促销流程图

经过研究发现，目前利用搜索引擎进行推广的方法有两大搜索引擎，分别是360搜索和Bing国内版。以迅雷下载安装为例，通过360搜索后得到的结果如下图所示。当用户点击红框内的安全下载时，实际下载的是360高速下载器程序：

360 搜索结果

使用Bing国内版搜索引擎进行搜索时，排名靠前的广告是360软件管家的推广广告。当您点击该网站时，系统会提示您使用安全下载。实际下载的也是360高速下载器程序。搜索内容如下图所示：

Bing国内版搜索结果

360推广网站内容

当用户运行360高速下载器时，效果如下图：

跑360高速下载器

经过后台数据统计，搜索引擎推广趋势图如下：

利用搜索引擎推广趋势图

360系列软件采用弹窗诱导推广。本地复现后发现360压缩利用促销弹窗诱导用户安装360安全卫士快捷版。弹出窗口如下图所示。它由 .exe 进程启动。用户点击“垃圾清理”按钮后，360安全卫士快捷版会在后台静默下载并安装：

诱导促销弹窗

通过进一步分析，我们发现许多其他360系列软件也存在上述促销弹窗，诱导用户安装360安全卫士快捷版。以下为部分360系列软件诱导促销弹窗截图。可以发现，此类广告使用“清理垃圾文件”等词语来诱导用户点击安装：

360系列软件诱导促销弹窗

经过后台数据统计，360系列软件弹窗推广趋势图如下：

360系列软件弹窗归纳推广趋势图

另外，经过后台监控发现360系列软件也会通过网络请求360下载安装模块。相关行为涉及的软件进程包括：.exe（会安装360画报、360安全浏览器）、.exe（360安全浏览器服务组件）、360影视、360桌面助手等。360系列软件请求360下载安装模块影响终端数量，如下图：

360系列软件请求推广模块趋势图

促销涉及的主要文档信息如下图所示：

高速下载器文件信息

诱导促销弹窗文件信息

查询模块文件信息

下载器文件信息

下载并安装模块文件信息

静默安装程序文件信息

360高速下载器模块

经分析发现，当用户电脑上安装时，高速下载器会直接调用浏览器下载对应的软件安装包，不会进行后续的静默安装操作；如果电脑上没有安装，高速下载器会先静默下载并安装360安全卫士精简版，然后通过360软件管家下载软件安装包。主要逻辑代码如下图所示。有关检查并静默安装360安全卫士快捷版的详细信息，请参见“.dll下载和安装模块”：

360高速下载器判断逻辑

.dll诱导促销弹出模块

360系列软件会加载.dll模块并调用函数来执行诱导促销弹窗。该函数的第一个参数是cid。如果传入的cid不同，则会弹出相应的广告内容。以360压缩为例，.exe进程调用函数时传入的cid为，相关代码如下图所示：

获取函数地址

通话功能

首先会检查当前主机的安全防护软件安装状态。部分行为及报检代码如下图所示：

检查安全软件行为

检查防护软件安装状态并报告

检测到时报告的数据

目前检查的防护软件列表如下：

防护软件列表

检查安全防护软件后，继续检查当前主机安装的浏览器并报告安装状态。相关行为及代码如下图所示：

检查浏览器

检查并报告安装状态

目前检查的浏览器列表如下：

浏览器列表

检查并报告安装的软件后，将通过注册表值判断当前主机是否安装了360安全卫士，并获取最后一次促销弹窗的时间。如果当天已经推送过弹窗，则不会执行后续逻辑。获取促销弹窗时间相关代码如下：

查看最后一次促销弹出时间

上述检查通过后，会从网上下载升级列表配置文件，并解析传入的cid匹配的配置项。相关代码如下图所示：

下载并解析.ini配置文件

函数内部会根据传入的cid解析得到[]中对应cid的配置。相关代码及对应的配置文件内容如下所示：

解析配置文件内容

配置文件内容

在下载促销弹窗cab包之前，会尝试加载.dll来查询云策略，以确定是否弹窗。当返回的策略值为pop:1或者策略获取失败时，会继续执行后续逻辑。当策略为pop时：为0时，不会提升弹出窗口。相关代码如下所示：

获取云策略

通过动态调试得到当前的云策略。显示pop:0表示当前策略不推广弹窗。这一云策略也对应了360系列软件弹出的归纳推广趋势图中10月16日之后的数据。策略内容如下图所示：

当前的云战略

策略为无弹窗时程序退出

如果该策略满足弹出条件，则根据解析内容得到的配置内容，下载对应的促销弹窗包。相关代码如下图所示：

下载促销弹窗图片包

下载促销弹出标志出租车包

下载的促销弹窗图片包内容如下图：

推广弹出图片cab包内容

推广弹出式徽标 cab 包内容

最后根据上面下载的推广弹窗文件创建弹窗广告，并根据不同的用户操作执行相应的代码逻辑。相关代码如下图所示：

弹窗广告逻辑

在安装功能内部，360安全卫士快捷版是通过下载加载.dll动态库来静默下载加载的。相关代码如下所示：

安装函数主要逻辑

从上面的代码可以看出有两种安装方式。一是下载.exe（xxx代表随机名）程序加载.dll模块进行下载安装；第二种是直接从当前的.dll中加载.dll模块来进行下载安装。相关代码如下：

通过.exe下载

.dll直接加载.dll

除了上述的360安全卫士快捷版的推广安装外，发现安装功能内部还有其他360系列软件安装包下载和静默安装逻辑，但目前安装条件并未触发，因此它尚未被执行。相关软件下载逻辑代码如下所示：

360桌面助手安装包下载及静默安装代码

360切换助手安装包下载及静默安装代码

360安全浏览器安装包下载及静默安装代码

360影视安装包下载及静默安装代码

.dll下载并安装模块

.dll动态库有多个导出函数，如下图：

.dll导出函数

本次推广安装主要涉及两个导出功能。当通过.exe安装程序执行升级时，会首先调用该函数来判断主机是否安装了。如果已安装，该程序将退出。如果未安装，则会执行间接调用函数进行下载安装。检查代码，如下所示。显示：

通过注册表检查

由于字符串是加密的，经过动态调试和解密，如下图所示：