双11成流氓软件狂欢节,侵权推广频次暴增200倍

2018-10-31 131953人围观 ,发现 6 个不明物体 资讯

文章目录

前言

临近双十一,流氓软件开启一波推广高潮。用户只要安装”2345好压”、”2345看图”、”2345拼音”、”2345浏览器”等2345家族软件,都会被静默推广双十一快捷方式。

事件解构

根据”火绒威胁情报中心”监测和评估,10月20日-24日,全网平均每天遭到此类流氓软件推广骚扰的用户电脑高达1350余万台,日均推广次数为2550余万次,平均每台电脑每天都会受到2次以上的流氓推广。

监测和评估

根据上图可以看出,上述软件流氓推广次数在18、19日为8-10万次,20日急剧上升至1990余万次,约为此前的200倍,且在随后继续上升,最高达2598余万次。

此次推广分为两种方式,一种是桌面静默推广,会给用户创建一个名为”天猫双11十周年狂欢”的快捷方式;另一种是双十一广告弹窗。用户点击后,都会跳转至天猫双十一活动主页面。推广任务执行前,用户不会收到任何相关提示,且无法在软件中关闭推广功能。此外,软件厂商可随时远程修改推广内容和时间。

拦截

火绒工程师特别提醒,随着双十一临近,流氓推广的数量也会越来越多。火绒用户可开启【防护中心】-【系统加固】功能对此类流氓软件的静默安装动作进行拦截(默认开启)。另外,双十一前后也是网购诈骗的高发期,想要在狂欢节血拼的网友们,对此也一定要提高警惕,以免遭受财产损失。

相关分析如下:

经过火绒分析发现,2345旗下四款软件安装后均会释放Helper_xxxx.exe程序(如:2345好压会Helper_Haozip.exe)。该程序运行后会加载%AppData%\Roaming\Helper_2345目录下的HelperMain.dll动态库,调用动态库导出函数HelperMain执行静默推广逻辑。广告推广配置相关资源被存放在%AppData%\Roaming\Helper_2345\Resource目录下,根据现有配置,推广动态库可以执行两种推广行为,分别为释放桌面快捷方式和弹出三种不同的广告弹窗。

静默释放推广快捷方式时火绒相关拦截日志,如下图所示:

火绒拦截日志

火绒拦截日志

广告弹窗,如下图所示:

全屏广告弹窗

全屏广告弹窗

右下角广告弹窗

右下角广告弹窗

广告推广配置,如下图所示:

广告推广配置

广告推广配置

*本文作者:火绒安全,转载请注明来自FreeBuf.COM

相关推荐
发表评论

已有 6 条评论

取消
Loading...

特别推荐

文章目录

文章目录

推荐关注

官方公众号

聚焦企业安全

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php