雙十一成流氓推廣狂歡節單日侵擾千萬量級電腦

2019 年 11 月 15 日
筆記

【快訊】

臨近雙十一，軟體的流氓推廣行為也變得瘋狂。就在近期，火絨接到用戶回饋，稱疑似有國外「安全軟體」在進行廣告彈窗推廣。火絨工程師遠程排查，發現是中國軟體廠商為了欺騙用戶、規避安全軟體監測，選擇冒用其他安全軟體名義進行廣告推廣，包括金山系軟體（金山毒霸、驅動精靈、獵豹瀏覽器等）和驅動人生系軟體（USB寶盒、券GoGo、Realtek音頻管理器等）。

查殺圖

根據「火絨威脅情報系統」監測和評估，僅11月7日當天，上述兩類軟體家族共同進行了數千萬次推廣行為，致超過千萬台終端受到影響。推廣的形式包括但不限於彈窗、創建快捷方式、托盤廣告等等，嚴重影響用戶的正常體驗。

值得一提的是，這些軟體會通過各種方式，試圖規避安全軟體監測。其中，金山系軟體可以通過雲控下髮指令，且在彈窗時會監控當前環境中運行的安全分析工具、截圖類軟體，甚至會監聽鍵盤輸入，防止用戶對其進行分析或截屏。驅動人生系軟體則會靜默推廣廣告程式，並不定時彈出雙十一相關廣告內容。由於這兩類軟體的行為符合安全廠商對廣告程式的定義，火絨已對其進行查殺。

近年來，雙十一已經成為電商約定的促銷日，同時也逐漸成為各大軟體廠商進行流氓推廣的「狂歡節」。目前來看，除了一些日常的軟體廠商在此期間大肆推廣以外，甚至還有安全類廠商加入其中，企圖分一杯羹，其行為與常見的流氓推廣無異。在此，火絨呼籲廣大軟體廠商，在逐利的同時，也要守住商業底線，共同維護用戶的權益，謀求長期發展。

附：【分析報告】

一、金山廣告模組分析

金山系軟體（金山毒霸、驅動精靈、獵豹瀏覽器等）kwhcommonpop模組會根據云控指令，隨機將廣告彈窗程式的文件名偽裝成安全軟體文件名，並且監控當前環境中運行的安全分析工具、截圖類軟體，甚至會監聽鍵盤輸入，防止用戶對其進行分析或截屏。涉及軟體，如下圖所示：

相關軟體列表

相關彈窗，如下圖所示，其中ashavast.exe為仿冒的Avast進程名：

廣告推廣介面

在測試環境中，該廣告程式多次偽裝成Avast、AVG和賽門鐵克等安全軟體進程名。相關現象，如下圖所示：

偽裝成安全軟體進程名的彈窗推廣程式

偽裝成Avast的廣告程式文件簽名資訊，如下圖所示：

文件簽名資訊

偽裝進程名並重啟後刪除文件相關程式碼，如下圖所示：

相關程式碼

偽裝安全軟體進程名相關配置，如下圖所示：

相關配置

上述配置文件中所包含的安全軟體程式名，所屬安全廠商。如下圖所示：

所屬安全廠商

除此之外，kwhcommonpop模組還會監控當前環境中的分析工具進程的啟動，一旦發現存在配置中指定的分析工具，就會退出廣告彈窗進程。相關程式碼，如下圖所示：

相關配置，如下圖所示：

被檢測的分析工具進程名

當用戶使用「PrintScreen」按鍵進行截圖時，剪切板會被清空。相關程式碼，如下圖所示：

清空用戶剪切板

相關配置，如下圖所示：

相關配置

二、驅動人生廣告模組分析

我們近期監測到具有流氓推廣行為的驅動人生系軟體主要包括：USB寶盒、券GoGo、Realtek音頻管理器等。我們僅以Realtek音頻管理器為例，驅動人生近期曾疑似通過靜默推廣方式推廣過旗下流氓軟體，該軟體目錄中包含有一個名為realtek.exe的程式，該程式自稱為「Realtek音頻管理器」，且該程式帶有驅動人生有效數字簽名。文件簽名資訊，如下圖所示：

文件數字簽名資訊

軟體功能介面，如下圖所示：

音頻管理器

雖然根據程式介面顯示具有一些軟體音頻配置修復類功能，但是在我們收到的眾多用戶回饋中，所有用戶均對電腦中存在這一軟體毫不知情，且沒有使用過該軟體所提供的任何功能。該軟體目錄中帶有推廣相關服務組件AERTSrv.exe，該組件會調用DTLPlugs目錄下的組件模組進行廣告推廣，組件被調用後會創建托盤廣告彈窗。相關現象，如下圖所示：