[技术分析]双十一成流氓推广狂欢节 单日侵扰千万量级电脑

感谢火绒安全的投递

临近双十一，软件的流氓推广行为也变得疯狂。就在近期，火绒接到用户反馈，称疑似有国外“安全软件”在进行广告弹窗推广。火绒工程师远程排查，发现是国内软件厂商为了欺骗用户、规避安全软件监测，选择冒用其他安全软件名义进行广告推广，包括金山系软件（金山毒霸、驱动精灵、猎豹浏览器等）和驱动人生系软件（USB宝盒、券GoGo、Realtek音频管理器等）。

查杀图

根据“火绒威胁情报系统”监测和评估，仅11月7日当天，上述两类软件家族共同进行了数千万次推广行为，致超过千万台终端受到影响。推广的形式包括但不限于弹窗、创建快捷方式、托盘广告等等，严重影响用户的正常体验。

值得一提的是，这些软件会通过各种方式，试图规避安全软件监测。其中，金山系软件可以通过云控下发指令，且在弹窗时会监控当前环境中运行的安全分析工具、截图类软件，甚至会监听键盘输入，防止用户对其进行分析或截屏。驱动人生系软件则会静默推广广告程序，并不定时弹出双十一相关广告内容。由于这两类软件的行为符合安全厂商对广告程序的定义，火绒已对其进行查杀。

近年来，双十一已经成为电商约定的促销日，同时也逐渐成为各大软件厂商进行流氓推广的“狂欢节”。目前来看，除了一些日常的软件厂商在此期间大肆推广以外，甚至还有安全类厂商加入其中，企图分一杯羹，其行为与常见的流氓推广无异。在此，火绒呼吁广大软件厂商，在逐利的同时，也要守住商业底线，共同维护用户的权益，谋求长期发展。

附：【分析报告】

一、 金山广告模块分析

金山系软件（金山毒霸、驱动精灵、猎豹浏览器等）kwhcommonpop模块会根据云控指令，随机将广告弹窗程序的文件名伪装成安全软件文件名，并且监控当前环境中运行的安全分析工具、截图类软件，甚至会监听键盘输入，防止用户对其进行分析或截屏。涉及软件，如下图所示：

相关软件列表

相关弹窗，如下图所示，其中ashavast.exe为仿冒的Avast进程名：

广告推广界面

在测试环境中，该广告程序多次伪装成Avast、AVG和赛门铁克等安全软件进程名。相关现象，如下图所示：

伪装成安全软件进程名的弹窗推广程序

伪装成Avast的广告程序文件签名信息，如下图所示：

文件签名信息

伪装进程名并重启后删除文件相关代码，如下图所示：

相关代码

伪装安全软件进程名相关配置，如下图所示：

相关配置

上述配置文件中所包含的安全软件程序名，所属安全厂商。如下图所示：

所属安全厂商

除此之外，kwhcommonpop模块还会监控当前环境中的分析工具进程的启动，一旦发现存在配置中指定的分析工具，就会退出广告弹窗进程。相关代码，如下图所示：

相关配置，如下图所示：

被检测的分析工具进程名

当用户使用“PrintScreen”按键进行截图时，剪切板会被清空。相关代码，如下图所示：

清空用户剪切板

相关配置，如下图所示：

相关配置

二、 驱动人生广告模块分析

我们近期监测到具有流氓推广行为的驱动人生系软件主要包括：USB宝盒、券GoGo、Realtek音频管理器等。我们仅以Realtek音频管理器为例，驱动人生近期曾疑似通过静默推广方式推广过旗下流氓软件，该软件目录中包含有一个名为realtek.exe的程序，该程序自称为“Realtek音频管理器”，且该程序带有驱动人生有效数字签名。文件签名信息，如下图所示：

文件数字签名信息

软件功能界面，如下图所示：

音频管理器

虽然根据程序界面显示具有一些软件音频配置修复类功能，但是在我们收到的众多用户反馈中，所有用户均对电脑中存在这一软件毫不知情，且没有使用过该软件所提供的任何功能。该软件目录中带有推广相关服务组件AERTSrv.exe，该组件会调用DTLPlugs目录下的组件模块进行广告推广，组件被调用后会创建托盘广告弹窗。相关现象，如下图所示：

托盘广告

除此之外，最终被调用的弹窗程序还会伪装成卡巴斯基的进程名进行启动。相关代码，如下图所示：

伪装卡巴斯基进程名

伪装安全软件进程名现象，如下图所示：

伪装安全软件文件名

相关代码包含有创建桌面快捷方式、弹窗广告、托盘广告、新闻mini页等功能，如下图所示：

广告推广代码

创建双十一相关广告快捷方式相关代码，如下图所示：

创建桌面推广快捷方式

三、 附录

样本hash