近日,不少网友反映自己的电脑无故安装了360安全卫士精简版。 工程师通过溯源发现,360安全卫士快捷版正在通过购买搜索引擎排名、弹窗提示等“诱导”手段进行推广和静默安装。 据火绒威胁情报系统监测,今年以来,已有超过1000万用户受到360系列软件上述促销行为的影响,且近期有大幅上升趋势。
值得注意的是,360安全卫士快捷版整个推广过程存在明显的对抗痕迹,即检测并规避 等众多安全软件,甚至利用系统程序隐藏推广行为(注入过程)。
360安全卫士快捷版的“诱导”促销有以下几种形式:
购买搜索引擎排名,是指利用其他搜索引擎和360搜索引擎的软件推广链接,诱导用户点击下载推广包,然后默默安装360安全卫士快捷版;
弹出提示,即用户安装的360系列软件弹出“清除垃圾文件”、“优化运行速度”等提示。 如果用户不注意小字安装说明,点击清理,360安全卫士就会静默安装。 极速版;
另外,360系列软件也会通过网络请求360下载安装模块。 涉及相关行为的软件进程包括:.exe(会安装360画报、360安全浏览器)、.exe(360安全浏览器服务组件)、360影视精选、360桌面助手等。
安全产品的“软件安装拦截”功能可以及时提示并帮助用户防范此类促销行为。
详细分析报告如下:
1. 详细分析
近期,火绒收到用户反馈,电脑上频繁安装360安全卫士快捷版。 通过对火绒威胁情报系统的后台监控,我们发现360安全卫士快捷版正在通过多种促销渠道进行诱导促销或静默促销。 主要渠道有:利用高速下载器的搜索引擎推广、360系列软件弹窗推广。 此外,发现360系列软件组件(.exe、.exe等)也会通过网络请求360下载并安装模块(.dll)。 360相关推广行为流程图:
促销流程图
经过研究发现,目前利用搜索引擎进行推广的方法有两大搜索引擎,分别是360搜索和Bing国内版。 以迅雷下载安装为例,通过360搜索后得到的结果如下图所示。 当用户点击红框内的安全下载时,实际下载的是360高速下载器程序:
360 搜索结果
使用Bing国内版搜索引擎进行搜索时,排名靠前的广告是360软件管家的推广广告。 当您点击该网站时,系统会提示您使用安全下载。 实际下载的也是360高速下载器程序。 搜索内容如下图所示:
Bing国内版搜索结果
360推广网站内容
当用户运行360高速下载器时,效果如下图:
跑360高速下载器
经过后台数据统计,搜索引擎推广趋势图如下:
利用搜索引擎推广趋势图
360系列软件采用弹窗诱导推广。 本地复现后发现360压缩利用促销弹窗诱导用户安装360安全卫士快捷版。 弹出窗口如下图所示。 它由 .exe 进程启动。 用户点击“垃圾清理”按钮后,360安全卫士快捷版会在后台静默下载并安装:
诱导促销弹窗
通过进一步分析,我们发现许多其他360系列软件也存在上述促销弹窗,诱导用户安装360安全卫士快捷版。 以下为部分360系列软件诱导促销弹窗截图。 可以发现,此类广告使用“清理垃圾文件”等词语来诱导用户点击安装:
360系列软件诱导促销弹窗
经过后台数据统计,360系列软件弹窗推广趋势图如下:
360系列软件弹窗归纳推广趋势图
另外,经过后台监控发现360系列软件也会通过网络请求360下载安装模块。 相关行为涉及的软件进程包括:.exe(会安装360画报、360安全浏览器)、.exe(360安全浏览器服务组件)、360影视、360桌面助手等。360系列软件请求360下载安装模块影响终端数量,如下图:
360系列软件请求推广模块趋势图
促销涉及的主要文档信息如下图所示:
高速下载器文件信息
诱导促销弹窗文件信息
查询模块文件信息
下载器文件信息
下载并安装模块文件信息
静默安装程序文件信息
360高速下载器模块
经分析发现,当用户电脑上安装时,高速下载器会直接调用浏览器下载对应的软件安装包,不会进行后续的静默安装操作; 如果电脑上没有安装,高速下载器会先静默下载并安装360安全卫士精简版,然后通过360软件管家下载软件安装包。 主要逻辑代码如下图所示。 有关检查并静默安装360安全卫士快捷版的详细信息,请参见“.dll下载和安装模块”:
360高速下载器判断逻辑
.dll诱导促销弹出模块
360系列软件会加载.dll模块并调用函数来执行诱导促销弹窗。 该函数的第一个参数是cid。 如果传入的cid不同,则会弹出相应的广告内容。 以360压缩为例,.exe进程调用函数时传入的cid为,相关代码如下图所示:
获取函数地址
通话功能
首先会检查当前主机的安全防护软件安装状态。 部分行为及报检代码如下图所示:
检查安全软件行为
检查防护软件安装状态并报告
检测到 时报告的数据
目前检查的防护软件列表如下:
防护软件列表
检查安全防护软件后,继续检查当前主机安装的浏览器并报告安装状态。 相关行为及代码如下图所示:
检查浏览器
检查并报告安装状态
目前检查的浏览器列表如下:
浏览器列表
检查并报告安装的软件后,将通过注册表值判断当前主机是否安装了360安全卫士,并获取最后一次促销弹窗的时间。 如果当天已经推送过弹窗,则不会执行后续逻辑。 获取促销弹窗时间相关代码如下:
查看最后一次促销弹出时间
上述检查通过后,会从网上下载升级列表配置文件,并解析传入的cid匹配的配置项。 相关代码如下图所示:
下载并解析.ini配置文件
函数内部会根据传入的cid解析得到[]中对应cid的配置。 相关代码及对应的配置文件内容如下所示:
解析配置文件内容
配置文件内容
在下载促销弹窗cab包之前,会尝试加载.dll来查询云策略,以确定是否弹窗。 当返回的策略值为pop:1或者策略获取失败时,会继续执行后续逻辑。 当策略为pop时:为0时,不会提升弹出窗口。 相关代码如下所示:
获取云策略
通过动态调试得到当前的云策略。 显示pop:0表示当前策略不推广弹窗。 这一云策略也对应了360系列软件弹出的归纳推广趋势图中10月16日之后的数据。 策略内容如下图所示:
当前的云战略
策略为无弹窗时程序退出
如果该策略满足弹出条件,则根据解析内容得到的配置内容,下载对应的促销弹窗包。 相关代码如下图所示:
下载促销弹窗图片包
下载促销弹出标志出租车包
下载的促销弹窗图片包内容如下图:
推广弹出图片cab包内容
推广弹出式徽标 cab 包内容
最后根据上面下载的推广弹窗文件创建弹窗广告,并根据不同的用户操作执行相应的代码逻辑。 相关代码如下图所示:
弹窗广告逻辑
在安装功能内部,360安全卫士快捷版是通过下载加载.dll动态库来静默下载加载的。 相关代码如下所示:
安装函数主要逻辑
从上面的代码可以看出有两种安装方式。 一是下载.exe(xxx代表随机名)程序加载.dll模块进行下载安装; 第二种是直接从当前的.dll中加载.dll模块来进行下载安装。 相关代码如下:
通过.exe下载
.dll直接加载.dll
除了上述的360安全卫士快捷版的推广安装外,发现安装功能内部还有其他360系列软件安装包下载和静默安装逻辑,但目前安装条件并未触发,因此它尚未被执行。 相关软件下载逻辑代码如下所示:
360桌面助手安装包下载及静默安装代码
360切换助手安装包下载及静默安装代码
360安全浏览器安装包下载及静默安装代码
360安全浏览器安装包下载及静默安装代码
360影视安装包下载及静默安装代码
.dll下载并安装模块
.dll动态库有多个导出函数,如下图:
.dll导出函数
本次推广安装主要涉及两个导出功能。 当通过.exe安装程序执行升级时,会首先调用该函数来判断主机是否安装了 。 如果已安装 ,该程序将退出。 如果未安装 ,则会执行间接调用函数进行下载安装。 检查 代码,如下所示。 显示:
通过注册表检查
由于字符串是加密的,经过动态调试和解密,如下图所示:
相关字符串的动态调试和解密
执行的函数中,主要逻辑代码如下图所示:
函数主要代码逻辑
函数内部会通过注入.exe进程将360安全卫士快捷版安装包下载到注入的dll中。 主要逻辑代码如下图所示:
注射
您可以使用 Sword观察注入的DLL并执行下载安装包的动作,如下图所示:
注入dll
通过注入方式下载360安全卫士快捷版安装包后,会继续从资源中解密静默安装程序(静默安装程序有随机名称),执行静默安装操作。 主要代码如下所示:
执行静默安装程序
可以观察最终的执行流程树如下图:
进程树
2. 附录
样本哈希值