本帖最后由 huoronganquan 于 2025-8-20 18:32 编辑
流氓软件如同数字世界的寄生虫,长期侵扰用户电脑、破坏使用体验。它们往往通过看似无害的软件捆绑潜入系统,肆意弹窗广告、强制安装推广软件、窃取隐私甚至消耗系统资源,已成为网络安全环境的一大顽疾。 近日,火绒安全团队收到多位用户反馈,称在安装某些工具类软件时遭遇广告弹窗及其他流氓行为,严重影响使用体验。鉴于此前已有类似反馈,火绒工程师高度重视,对捕获的样本进行了重点分析。分析发现,该样本主要通过捆绑在 Zip 解压缩、PDF 转换器及录屏软件等常用工具的安装包中进行传播。一旦运行,它会从云端拉取文件并创建服务以实现持久化驻留。随后,该样本会持续获取云端配置,执行包括静默推广安装金山毒霸、WPS、CAD看图王等软件在内的一系列流氓行为,并最终伪装成插件进行集成和大规模传播。 根据火绒威胁情报系统监测,该样本已感染超过数万台电脑,传播范围波及数十类工具下载网站,包括 Zip 解压缩、录屏、PDF转换器、壁纸、DLL 修复、全能格式转换、OCR 扫描等多种类型。目前,火绒安全产品可有效拦截并查杀上述流氓软件。 查杀图 软件安装拦截
一、样本分析 样本流程图如下: 流程图
该样本采用 C# 开发,初始版本为一个简单的下载器(Loader),主要功能是从阿里云存储桶中获取安装包,并通过命令行实现静默安装压缩包的功能。 网页
样本的主要逻辑为:通过代码伪造安装界面,包括构造所需数据、下载配置文件、获取云端配置信息,并完成UI 设置;随后,通过用户点击按钮的操作触发静默安装。 主界面
首先,样本会初始化数据,包括获取环境变量、安装目录路径及系统版本信息等;随后下载应用配置文件 json,解析其中的数据以获取 Zip 压缩包的 URL,并据此下载安装。 初始化数据 获取下载链接
接着,样本通过代码进行 UI 绘制,伪造出 Zip 解压缩的安装流程界面,呈现一个简易的安装界面供用户交互。 配置UI UI图
当用户点击后,样本会在后台根据配置文件下载阿里云存储桶中的安装包,并通过命令行的方式执行静默安装。 下载配置 下载安装包 静默安装
最终,样本通过调用 RunApplication 运行安装后的程序。 执行程序
之后创建安装服务:先将 Base64 编码的服务文件解码并释放到本地,再通过 CMD 命令行创建并执行该服务。 base64释放文件 创建服务
随后,程序通过启动 PCUpdateHelper.exe 来加载并运行服务核心程序。该服务启动后,其 OnStart 函数会被自动调用执行。 服务Start函数
在 Start 函数中,服务会创建一个线程。该线程持续进行两项监测: 1.核心可执行文件是否存在于本地; 2.该文件对应的进程是否已创建,一旦文件存在而进程未运行,线程便会启动该核心可执行文件的安装过程。 服务线程
该服务检测广告推广程序进程是否正在运行。若进程不存在,则检查对应的程序文件是否存在于本地: 1.若文件存在,则执行该文件; 2.若文件不存在,则从云端下载核心文件 PCUpdateCore.exe 并运行。 核心进程 云端下载
PCUpdateCore.exe 的核心功能是执行广告弹窗推广。程序启动后,首先会检查上次启动时间及当前是否已在运行。随后,从云端获取最新的推广规则,据此执行广告推广任务。此外,程序还会获取云端的插件模块,利用这些插件进行更深入的推广活动。 时间启动判断
之后从云端下载配置文件。 云端下载配置文件
下载的配置文件解析如下: 1.基础开关和目录监控
2.检查与间隔配置
各功能时间间隔如下: 弹窗展示:每隔 1.5 小时触发一次。 更新检查:每 8 小时执行一次。 通知(广告/推送)检查:每 10 分钟轮询一次。 右键菜单内容更新:每 4 小时进行一次。
3.RunInfoConfigs(运行策略)
SourcePlatform:标识软件来源平台(例如:Tencent, Huawei, Lenovo)。 DelayRunSeconds:设置延迟运行时间(秒)。例如,值 86400 表示程序将在 24 小时后执行。
4.DownloadInfoConfigs(推广软件下载地址)
(1)TargetPackage = Kinst → 下载 Kinst 金山毒霸软件安装包 (2)LenovoIntermodal 平台 → 下载安装 WinCleaner_V8.7.3.0_LenovoIntermodal.exe (3)0TargetPackage = wps → 下载 WPS 办公软件安装包,并执行静默安装 (使用参数 /S -agreelicense 自动同意协议)。 (4)TargetPackage = iqiyi → 下载爱奇艺客户端安装包。 (5)TargetPackage = rrsp → 下载名为 RRClient 的软件安装包。 (6)TargetPackage = windows.netpower.cleaner / pdfConvert / pictureviewer / unzip → 下载指定工具软件安装包 (例如:WinCleaner、PDF 转换器、图片查看器、压缩工具),并执行静默安装 (使用参数 /quiet)。
5.NotifyWeightConfigs(通知权重)
检测目录新增文件如下: 文件检测
其弹窗功能如下: 弹窗功能
静默安装功能如下: 静默安装
该程序还会从云端下载并安装插件。分析发现,程序存在严重安全隐患:它将阿里云 OSS 和腾讯云 OSS 的 accessKeyId 与 accessKeySecret 明文硬编码在自身代码中。一旦攻击者获取这两个密钥,即可直接登录并访问对应的云存储桶,可能引发进一步的网站攻击。 对下载的云端插件(.NET DLL)深入分析发现,其主要功能是投放广告弹窗,涉及的推广目标包括:WPS、金山毒霸、右键菜单插件、CAD看图引流插件、打印机引流插件、具备卸载360画报(netpower_huabao)作用的插件等。 key泄露 安装插件 解压插件
WPS广告插件:WPS文档格式监听,弹窗推荐。 wps插件
金山毒霸广告配置插件。 金山毒霸插件
卸载360huabao插件(netpower_huabao)。 卸载360huabao插件
二、溯源分析
部分失效域名如下: 跳转链接 相关网站
对网站进行观察分析发现,其日均访问量稳定在 1k 左右。根据火绒情报系统数据显示,该病毒传播量已达数万台终端,该恶意推广活动长期存在且已形成一定规模。目前,火绒已能精准拦截此类样本的动态安装行为。 活动趋势
三、附录 C&C:
HASH:
| 
收藏
