近期有较多网友反馈电脑被无故安装360安全卫士极速版。经火绒工程师溯源发现,目前360安全卫士极速版正通过购买搜索引擎排名、弹窗提示等“诱导式”手段推广并静默安装。根据火绒威胁情报系统*测显示,从年初至今,已有超千万用户受到360系软件上述推广行为的影响,且于近期呈大幅上升趋势。
值得关注的是,360安全卫士极速版的整套推广流程,存在较为明显的对抗痕迹,即对火绒安全等多款安全软件进行检测规避,甚至利用系统程序隐匿推广行为(注入explorer进程)。
360安全卫士极速版“诱导式”推广呈现以下形式:
购买搜索引擎排名,即利用其他搜索引擎和360搜索引擎的软件推广链接,诱导用户点击下载推广包,随后静默安装360安全卫士极速版;
除此之外,360系软件也会通过网络请求360下载安装模块,涉及相关行为的软件进程包括:360huabao.exe(360画报,360安全浏览器会附带安装)、360pic.exe(360安全浏览器服务组件)、360影视大全、360桌面助手等。
火绒安全产品“软件安装拦截”功能可及时提示并帮助用户阻止此类推广行为。
详细分析报告如下:
详细分析
近期,火绒收到用户反馈,电脑中频繁被安装360安全卫士极速版。通过火绒威胁情报系统后台*测,我们发现360安全卫士极速版正在通过多个推广渠道进行诱导推广或静默推广。主要渠道分别为:通过搜索引擎使用高速下载器推广、通过360系列软件弹窗诱导推广。除此之外,火绒发现360系列软件组件(360huabao.exe、360pic.exe等)也会通过网络请求360下载安装模块(360ini.dll)。360相关推广行为流程图:
360搜索结果
使用Bing国内版搜索引擎搜索时,排行之一的为360软件管家的推广广告,点进网站中会提示使用安全下载,实际下载下来的也是360高速下载器程序,搜索内容如下图所示:
利用搜索引擎进行推广趋势图
360系软件弹窗诱导推广的方式,经过本地复现发现 360压缩存在利用推广弹窗诱导用户安装360安全卫士极速版的情况,弹窗情况如下图所示,由360zip.exe进程发起,用户点击“垃圾清理”按钮后将在后台静默下载安装360安全卫士极速版:
诱导推广弹窗
通过进一步的分析发现其他多款360系列软件也存在上述推广弹窗诱导用户安装360安全卫士极速版的行为。以下为部分360系列软件诱导推广弹窗截图,可以发现这类广告均以“清理垃圾文件”等话术诱导用户点击安装:
360系列软件诱导推广弹窗
经过后台数据统计,360系软件弹窗诱导推广的趋势图如下:
360系软件弹窗诱导推广趋势图
除此之外,经过后台*测,发现360系列软件也会通过网络请求360下载安装模块,涉及相关行为的软件进程包括:360huabao.exe(360画报,360安全浏览器会附带安装)、360pic.exe(360安全浏览器服务组件)、360影视大全、360桌面助手等。360系列软件请求360下载安装模块所影响的终端数量,如下图所示:
urlproc查询模块文件信息
Devxxx下载器文件信息
调用RunTip函数
首先会检查当前主机的安全防护软件安装情况,部分行为及检查上报代码如下图所示:
检查防护软件安装情况并上报
检测到火绒时上报的数据
目前会检查的防护软件列表如下图:
检查浏览器
检查并上报安装情况
目前会检查的浏览器列表如下图:
浏览器列表
在对安装软件进行检查上报后,会通过注册表值判断当前主机是否已安装360安全卫士以及获取最后一次推广弹窗时间,若当天已经推广弹窗则不执行后续逻辑。获取推广弹窗时间的相关代码如下图所示:
当前云端策略
下载推广弹窗图片cab包
360桌面助手安装包下载及静默安装代码
360换机助手安装包下载及静默安装代码
通过注册表检查火绒
由于字符串被加密,经过动态调试解密后,如下图所示: