火绒安全软件

标题: 金山毒霸“不请自来” 背后竟有黑产推波助澜 [打印本页]

作者: huoronganquan 时间: 2019-8-27 20:22
标题: 金山毒霸“不请自来” 背后竟有黑产推波助澜
【快讯】近日，火绒收到多位网友反馈，称在未安装“火绒安全软件”的情况下被静默安装了金山毒霸软件，甚至卸载后再次被安装，不堪其扰。鉴于此前已有不少用户反馈此类情况，火绒工程师高度重视，对金山毒霸的推广渠道进行重点跟踪分析，发现其除了通过第三方软件（驱动精灵、QQ音乐等）、下载站下载器推广外，更是存在利用多个病毒进行推广的恶行。

病毒推广流程图

火绒工程师此次截获到的病毒为“Mint”、“BlackRain”两大家族。病毒自身均通过恶意软件在网络上传播，并静默推广金山毒霸等软件。其中，病毒“Mint”除了推广金山毒霸外，还会传播伪装成天气软件的“BlackRain”病毒，再由“BlackRain”病毒继续静默推广金山毒霸以及其它软件。通过“火绒威胁情报系统”监测到，上述病毒传播量已相当大，截止到目前，感染上述病毒的用户量据估算至少在几十万量级。“火绒安全软件”最新版本可查杀上述病毒。

更为讽刺的是，金山猎豹安全团队曾在2018年对病毒Mint进行过披露，并在当时进行了相关技术分析，然而截至目前，金山毒霸的有效推广包链接就赫然出现在该病毒的云控配置中。这背后各种，不得不引人深思。
另外，除了利用病毒推广，通过第三方软件（驱动精灵）以及下载站下载器推广也是金山毒霸惯用的手段。在这些第三方软件安装界面，取消安装金山毒霸的勾选框极为隐蔽，多与背景色相同，用户难以察觉，一不小心就被安装金山毒霸。
就在今年上半年，金山毒霸因“浏览器主页劫持”等互联网技术霸凌现象被人民日报进行连续点名报道，而今又被用户反馈利用病毒进行恶意推广的勾当，这折射出的是部分厂商对用户利益的盘剥与傲慢的态度，无异于在透支用户的信任：连安全厂商都行流氓、违法之举，那么其它流氓软件行为岂不更无法无天？
火绒认为，金山毒霸作为一网络安全厂商，应当担负对应的道德责任，对于暴露出的问题，应当猛药去疴、重典治乱，将技术用于正轨，同时，火绒也敦促金山毒霸团队彻查此次事件，并停止后续伤害用户甚至非法的推广行为，真正做到其负责人回应人民网所说的“守住商业底线，净化网络环境”。

附：【分析报告】
一、背景
近日，火绒收到多位网友反馈，称在未安装火绒安全软件的情况下被静默安装了金山毒霸软件，甚至卸载后再次被安装，不堪其扰。于是，我们对金山毒霸的推广渠道进行了梳理，发现其主要推广渠道除其他软件推广（驱动精灵、QQ音乐等）和下载站下载器推广外，居然还存在利用病毒进行恶意推广的行为。金山毒霸几类推广渠道日推广量占比大致如下：

推广渠道占比

其他软件推广安装时，虽然会出现推广其他软件的勾选项，但是此类勾选项文字通常与背景色非常相近，如果用户不注意观察，很容易被捆绑其他第三方软件。以占比较大的驱动精灵为例，如下图所示：

安装时推广安装

一些软件在卸载时也会有推广行为，仍以占比较大的驱动精灵为例，如下图所示：

卸载时推广安装

通过火绒终端威胁情报系统，我们梳理出了一些下载站的下载器会推广安装金山毒霸。推广金山毒霸的下载器我们仅以部分文件名称为例，如下图所示：

下载站下载器推广安装

与前两种推广方式类似的推广形式五花八门，用户只要稍有不留神就会被静默安装。不过这些推广基本都有相应的勾选，所以用户如果在安装软件、卸载软件、升级软件以及各类软件弹窗功能性和非功能弹窗等等各个环节处处小心提防、对所有提示信息谨慎对待，甚至有时还需要一些“深奥”的文学功底和逻辑能力，总之还是可以避免踩坑的。但利用病毒推广，用户就没有这么“幸运”了。下面，本文将对火绒截获到的两个金山毒霸用来恶意推广的病毒进行详细分析。

二、病毒分析
通过火绒终端威胁情报系统进行追查，我们发现一批通过恶意软件推广牟利的病毒样本自2019年7月以来持续活跃，此次被截获的病毒样本分属于两个病毒家族Mint和BlackRain，其中BlackRain病毒推广金山毒霸推广量较大。更为讽刺的是，金山猎豹安全团队曾在2018年对病毒Mint进行过披露，并在当时进行了相关技术分析，然而截至目前，金山毒霸的有效推广包链接就赫然出现在该病毒的云控配置中。相关报告链接：http://sem.duba.net/info/201812101124.shtml。病毒推广流程，如下图所示：

病毒推广流程

Mint病毒
Mint病毒代码逻辑与2018年相比，整体逻辑无明显变化，恶意行为意图完全相同，恶意行为包括：软件安装推广、快捷方式链接推广、广告弹窗和浏览器首页篡改。该病毒首先会将%appdata%\Microsoft\PstFev\core.dat中的文件内容进行解密，之后将解密后的原始PE文件注入到其启动的svchost.exe进程中，被注入后的svchost.exe会根据%appdata%\Microsoft\PstFev\setting.xml中的推广配置实施恶意推广逻辑，下文称之为推广核心模块。之后解密%windir%\system32\PstLanuage.dat释放、执行随机名服务动态库。随机名服务主要逻辑是将Mint病毒注入到svchost.exe进程中执行，继续执行病毒逻辑。
Mint病毒会被注入到svchost.exe进程中执行，除释放病毒相关数据文件外，主要用于更新病毒模块。相关代码，如下图所示：

更新病毒模块

病毒会根据C&C服务器(hxxp://ver.qitianst.com)请求更新配置Version.ini，在配置文件中包含推广配置、推广核心模块和PstLanuage.dat的更新地址。配置文件数据，如下图所示：

更新配置

更新随机名服务动态库数据（%windir%\system32\PstLanuage.dat），相关代码逻辑，如下图所示：

更新PstLanuage.dat相关代码逻辑

通过解密PstLanuage.dat获取到随机名服务动态库，注册随机名服务相关代码，如下图所示：

注册随机名服务

解密释放随机名服务动态库文件。相关代码，如下图所示：

释放随机名动态库

推广核心模块更新后，会被加密存放在%appdata%\Microsoft\PstFev\core.dat文件中。该模块数据由病毒主模块调用，解密后会将原始镜像数据注入到svchost.exe进程。更新推广核心模块数据相关代码，如下图所示：

更新推广核心模块数据

将推广核心模块注入到svchost.exe进程，相关代码，如下图所示：

将解密注入svchost.exe

随机名服务
随机名动态库主要逻辑为在内存中加载一个被加密的动态库镜像，之后执行镜像的导出函数“run”。相关代码，如下图所示：

解密执行被加密的镜像数据

被解密出的动态库镜像执行后，会解密的原始病毒镜像，将病毒镜像注入到svchost.exe进程中执行，该病毒镜像与最上层的Mint病毒相同，从而更新病毒主模块。相关代码，如下图所示：

更新病毒主模块数据并注入svchost.exe

推广核心模块
推广核心模块会被加密存放在%appdata%\Microsoft\PstFev\core.dat文件中。该模块数据由病毒主模块调用，解密后会将原始PE镜像数据注入到svchost.exe进程中执行。推广核心模块会根据%appdata%\Microsoft\PstFev\setting.xml中的配置内容执行相应的推广策略。推广策略主要包含有软件安装推广、弹窗推广、快捷方式链接推广。解密后的配置文件内容，如下图所示：

弹窗广告及快捷方式链接推广配置

在软件安装推广相关配置内容中，除了其他第三方软件外，还包含有金山旗下两款软件（金山毒霸和驱动精灵）的推广配置。截至目前，我们监测到的Mint病毒推广金山毒霸相关推广数据占比较少，不排除病毒临时测试推广的可能性。金山旗下软件相关推广配置，如下图所示：

软件安装推广配置

通过火绒终端威胁情报系统筛查，我们发现，上图中名为“kduba_u59933452_sv1_97_2.exe”金山毒霸安装包文件数字签名时间为2019年5月14日，我们则在2019年5月17日首次监测到该推广包的相应推广安装行为。相关数据，如下图所示：

“kduba_u59933452_sv1_97_2.exe”安装包推广量

“kduba_u59933452_sv1_97_2.exe”安装包文件数字签名信息，如下图所示：

安装包数字签名信息

除此之外，我们在同一个推广配置中还发现了一款伪装成天气软件的病毒程序，我们将其命名为BlackRain病毒，在下文中进行详细分析。相关配置内容，如下图所示：

病毒推广配置

BlackRain病毒
BlackRain病毒主要通过病毒推广的形式进行传播，该病毒执行后会根据C&C服务器返回的推广配置进行恶意软件推广。病毒伪装成天气软件，自身没有实际的功能，只会根据请求下来的配置文件推广软件和浏览器插件。根据目前请求到的配置文件信息，病毒在执行恶意推广时会避开北京、广州和深圳这三个城市。病毒文件信息，如下所图示：

病毒文件信息

在该BlackRain病毒的推广策略中包含有大量的软件推广，其中浏览器插件推广居多，软件安装包推广策略中只推广金山毒霸。配置文件内容，如下图所示：

配置文件

病毒运行后会从资源节解出Everything.exe和Everything.ini，之后加载执行Everything，用于查找浏览器主程序的文件路径。从配置文件中获取任意一个插件的URL地址，下载插件并调用找到的浏览器程序，安装插件。之后向安装扩展程序的窗体发送确认消息完成插件安装。相关代码，如下图所示：

从资源节中解出Everything

使用Everything查找浏览器可执行文件路径

下载插件crx文件

调用浏览器安装插件

向安装插件窗体发送确认消息

受该病毒影响的浏览器，如下图所示：

浏览器

被推广的浏览器插件，如下图所示：

被推广的浏览器插件

从配置文件中取得推广程序的URL地址，下载到C:\Program Files\EXEDOWN目录下并执行，目前推广的程序仅有金山毒霸。相关代码，如下图所示：

推广软件

病毒会检查配置文件中的版本信息，如果版本与自身的版本不同，则会进行自身的更新。相关代码，如下图所示：

自我更新

病毒会创建开机自启的服务项，用于开机启动。相关代码，如下图所示：

创建服务

三、附录
病毒hash

作者: 一镜到底 时间: 2019-8-27 21:02
毒霸这个名字就挺好的，病毒霸主。。。

作者: 火绒剑盾 时间: 2019-8-27 22:48
现在的金山毒霸11已经跟流氓软件没什么区别了，现在毒霸跟瑞星一样搞VIP收费去广告根本就是已经混不下去，死马当活马医，像割韭菜一样，有傻子送上门充VIP就赚VIP的钱，没人信仰充值就死命弹新闻广告，升级弹窗右下角勾个小勾，用户不小心按个确定又锁个毒霸网址导航，一样有钱赚，怎么都不亏！

作者: 到处闲逛 时间: 2019-8-28 13:19
昔日的国内安全厂商已经没落和沉沦

与病毒为伍沆瀣一气

作者: 枫之谷 时间: 2019-8-28 14:36
麻花疼的某管家也是恶心的很

作者: 杨启泓 时间: 2019-8-28 14:44
就火绒最好

作者: 纯白色丶诺言 时间: 2019-8-28 20:07
还是火绒最干净了

作者: huxyue 时间: 2019-8-29 09:41
谢谢分享

作者: 重庆客运段 时间: 2019-8-29 11:26

到处闲逛发表于 2019-8-28 13:19
昔日的国内安全厂商已经没落和沉沦
与病毒为伍沆瀣一气

是合作商坑，假如那家为了破坏火绒品牌也可以通过手段恶意推广火绒，总之就是恶意行为

作者: babaluosha22 时间: 2019-8-29 13:12
和前段时间的iqiyi似的，卸了黑的装白的，卸了白的装黑的。

作者: vardyh 时间: 2019-8-29 15:22

重庆客运段发表于 2019-8-29 11:26
是合作商坑，假如那家为了破坏火绒品牌也可以通过手段恶意推广火绒，总之就是恶意行为 ...

火绒的安装包特意做成不支持静默安装的。
如果厂商什么也做不了，火绒是不会这样阐述这件事的。

作者: lkq 时间: 2019-8-29 15:26

babaluosha22 发表于 2019-8-29 13:12
和前段时间的iqiyi似的，卸了黑的装白的，卸了白的装黑的。

emmm前一阵子我就陷入了这样的无限循环当中，比无限蓝屏还要头疼

作者: 纷扰的互联网 时间: 2019-8-29 15:52

vardyh 发表于 2019-8-29 15:22
火绒的安装包特意做成不支持静默安装的。
如果厂商什么也做不了，火绒是不会这样阐述这件事的。 ...

但是这种大多数是睁一只眼闭一只眼或者说厂商知情但是不管
何况毒霸都已经。。。。。。
唉~

作者: SOWORK 时间: 2019-8-29 16:08
火绒能查杀吗？有台电脑好像也中招了。

作者: 重庆客运段 时间: 2019-8-29 16:48

vardyh 发表于 2019-8-29 15:22
火绒的安装包特意做成不支持静默安装的。
如果厂商什么也做不了，火绒是不会这样阐述这件事的。 ...

然而，似乎可以模拟点击吧。。。

作者: ydgaga 时间: 2019-8-29 19:10
傅盛离开360后，比以前还狠啊

作者: vardyh 时间: 2019-8-30 09:37

重庆客运段发表于 2019-8-29 16:48
然而，似乎可以模拟点击吧。。。

性质就不一样了

作者: 纷扰的互联网 时间: 2019-8-30 10:36

ydgaga 发表于 2019-8-29 19:10
傅盛离开360后，比以前还狠啊

金山现在主要在弄移动应用APP 广告机器人（人工智能）至于金山毒霸可能现在管都不带管的

作者: yonxi3 时间: 2019-8-30 12:40
金山毒霸真的是“毒霸”啊(>ω<)

作者: 重庆客运段 时间: 2019-8-30 20:31

vardyh 发表于 2019-8-30 09:37
性质就不一样了

额，我的意思是病毒作者用来恶心人的。。。

作者: DEREK 时间: 2019-8-31 15:03
这个恶霸还附带首页跳转劫持，强制隐藏文件夹需要cmd使用【attrib -s -a -h -r 路径】，具体路径在火绒剑可以找到，显形后卸载彻底删除。

作者: vardyh 时间: 2019-8-31 15:24

重庆客运段发表于 2019-8-30 20:31
额，我的意思是病毒作者用来恶心人的。。。

真遇到这种我们自己同样也会杀了发报告的。

作者: hkear 时间: 2019-9-2 10:13
我现在用软件证书导入到不信任的方式抵抗诸如金山、360的全家桶攻击

作者: 提莫队长 时间: 2019-9-11 09:28

到处闲逛发表于 2019-8-28 13:19
昔日的国内安全厂商已经没落和沉沦
与病毒为伍沆瀣一气

毒霸本来就不是什么好鸟，病毒查不出来几个，广告做的挺猛的

作者: llllking 时间: 2019-9-12 16:31
毒霸完全是个病毒了

作者: 火绒剑盾 时间: 2019-9-14 22:04

重庆客运段发表于 2019-8-29 11:26
是合作商坑，假如那家为了破坏火绒品牌也可以通过手段恶意推广火绒，总之就是恶意行为 ...

作者: 重庆客运段 时间: 2019-9-15 08:12

火绒剑盾发表于 2019-9-14 22:04

企业版可以快速安装啊？

作者: 火绒剑盾 时间: 2019-9-15 09:15

重庆客运段发表于 2019-9-15 08:12
企业版可以快速安装啊？

我没用过火绒企业版，我不清楚！

作者: wyg111.com 时间: 2019-9-15 10:13
最怕的是他们生产病毒，那样的话就太可怕了

作者: qubick0 时间: 2019-9-23 03:22
所以不用金山

作者: 半暖独凉 时间: 2019-9-26 20:16
毒霸＝毒爸。昔日安全软件均沦为赚钱的工具，通过后门植入为用户静默安装软件已明确说是违反了用户知情权。只有火绒才陪伴我们一切。

作者: johnt 时间: 2019-9-28 19:53
国产的各种大师/管家/毒霸/数字, 没一个是正经做事的, 广告倒是放的很积极.

唯一走正路的只有火绒.

但是中国的傻子太多,骗子从来都无法根除.

这些傻子我感觉完全就是活该.

作者: 昊情· 时间: 2019-9-29 22:24
360截图20190929222414988.jpg

滑稽保命

作者: FireFeiSir 时间: 2019-10-10 11:53
我老表的电脑就是这个，不知道怎么多出来很多东西，帮他卸载驱动精灵的时候我特意注意了一下左下角，要不是之前看过这篇文章，估计又是一大堆软件默默跑到电脑上了

作者: galford 时间: 2019-10-15 09:37
以前还一直用金山套装，最近中个病毒，死活搞不定，一气之下重装系统，在溜卡饭的时候看到了火绒，本想着试试看，呵呵，居然还挺对胃口，希望你会越来好，勿忘初心。

作者: 淞璟 时间: 2019-10-15 15:37
对我而言，毒霸已经进“坟墓”了。

作者: shanmao 时间: 2019-10-19 09:18
内容超赞！！！

作者: 不破不立 时间: 2019-10-24 00:12
曾经的杀毒品牌：江民，瑞星，熊猫，费尔托斯特，南北信源，驱逐舰，诺顿，小红伞，病毒疯狂的年代，卸了这个装那个，软件当成游戏玩，厂商赚得盆满钵满，用户玩的不亦乐乎，现在都成了混混。

作者: pppsky 时间: 2019-10-24 18:31
原来我也一直在用金山卫士，当时比360出色，现在久未更新后就不用了。毒霸实在太牛，不小心安装后还拉来一帮小弟挤占桌面。哎，世风啊...

作者: hr_zyx 时间: 2019-10-25 20:41
本帖最后由 hr_zyx 于 2019-10-25 20:42 编辑

还有2345全家桶，我虽然觉得2345家的看图王很好用，但是它老师弹窗还是接管我的默认程序，用彗星小助手探测窗口也找不到文件路径在哪里

作者: 迷途丶小书童 时间: 2019-10-26 19:24
雷军不管管吗不是说雷军也是金山的CEO 兼董事长

作者: jjl671009 时间: 2019-10-28 20:02
某霸和某讯助手，我现在都不用了！垃圾得很！某霸是不知不觉地后台安装，某讯助手，更垃圾，文件大不说了，后台启动的进程很多，占用资源，拉慢系统。还有很鄙视某化腾的人设，逆潮流而动，在全国都在抵制NBA的时候，他第一个跳出来转播NBA，我在空间转发了一篇毛主席的文章《中国社会各阶级的分析》，垃圾的某讯，竟然给屏蔽了，我想，某化腾是怕这篇文章吧？现在连微信钱包也关闭了，所有的微信支付，全部关闭，所有的银行卡全部解除绑定，老子就不用你的支付方式，就用支付宝。

作者: jjl671009 时间: 2019-10-28 20:05
某霸的弹窗比谁都多！找来找去，找到火绒。回忆起来了，当初做音像制品的时候，卖过火绒的产品，不过也不多，就卖出去了二十套。

作者: maswill 时间: 2019-10-29 08:23
免费的又不赚钱，他为啥花这么大力气和金钱去找这么多渠道去推广

作者: 120542294 时间: 2019-10-29 09:10
金山真的变味了现在不管下什么软件只要有下载器的都捆绑毒霸（最恶心的是附带一起的还有好多垃圾软件一起装）

作者: cnypzhw 时间: 2019-10-30 15:34

重庆客运段发表于 2019-8-29 16:48
然而，似乎可以模拟点击吧。。。

很容易可以做到让你的模拟失效

作者: 冬日安好 时间: 2019-11-7 16:45
才知道为什么江民，金山毒霸等这些明明现在杀毒很垃圾的公司还活着了

作者: 824945879 时间: 2020-3-10 14:54

作者: Blacksilver 时间: 2020-3-21 19:49

不破不立发表于 2019-10-24 00:12
曾经的杀毒品牌：江民，瑞星，熊猫，费尔托斯特，南北信源，驱逐舰，诺顿，小红伞，病毒疯狂的年代，卸了这 ...

现在敢这么玩c盘成垃圾堆了

作者: fans001 时间: 2020-4-7 10:20

WilliamSu 发表于 2020-3-18 17:16
金山就是流氓

不止金山吧？

作者: JerryABCD 时间: 2020-6-11 20:56
现在格式工厂也在安装时右下角一个小框“金山毒霸护航”，默认是勾着的
真不想格式工厂也变成流氓

作者: dzt 时间: 2020-6-12 07:53

jjl671009 发表于 2019-10-28 20:02
**** 作者被禁止或删除内容自动屏蔽 ****

tian na!2020 nian le ,ni jing ran hai gan fa mao ze dong de wen zhang,dou bei zyzf he zymt shi wei yi duan xie shuo le,bu bei he xie cai guai ne!ta men zhi xin ** ping.

作者: dzt 时间: 2020-6-12 07:56
楼上那个敢转发毛泽东文章的，我敬你是条汉子！

作者: dzt 时间: 2020-6-12 08:01

jjl671009 发表于 2019-10-28 20:05
**** 作者被禁止或删除内容自动屏蔽 ****

tian na!ni jing ran zhuan fa mao ze dong de wen zhang?zao jiu bei zyzf he gfmt dang cheng yi duan xie shuo le,bu bei mou xun he xie cai guai ne,zhi fu bao ye mei yong,zi ben jia dou hen si.

作者: 英雄不留名 时间: 2020-7-3 15:00
独霸啊，给你放过病毒让后报毒...

作者: Theking 时间: 2020-8-18 00:47
最怕的就是整个今日热点（弹窗广告）
关闭今日热点，自动为您安装一下程序：
每日热点
实时热播
1+1咨询
小提示
小黑笔记本

作者: coolcoolniu 时间: 2021-1-16 09:18
卧底，结果把自己变成了病毒，是泯灭人性还是关乎道德，亦或者触犯法律~~~

作者: dreamonfox 时间: 2021-1-17 13:44
金山终于活成了病毒的样子

作者: 孤单魂随风荡 时间: 2021-2-5 11:38
毒霸：能给我留一条底裤么？

作者: @huorong 时间: 2021-2-8 15:15
这金山下面的产品干啥啥不行，做流氓软件绝对是国内杠杠的

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)