臨近雙十一，軟件的流氓推廣行為也變得瘋狂。就在近期，火絨接到用戶反饋，稱疑似有國外“安全軟件”在進行廣告彈窗推廣。火絨工程師遠程排查，發現是國內軟件廠商為了欺騙用戶、規避安全軟件監測，選擇冒用其他安全軟件名義進行廣告推廣，包括金山系軟件（金山毒霸、驅動精靈、獵​​豹瀏覽器等）和驅動人生系軟件（USB寶盒、券GoGo、Realtek音頻管理器等）。

查殺圖

根據“火絨威脅情報系統”監測和評估，僅11月7日當天，上述兩類軟件家族共同進行了數千萬次推廣行為，致超過千萬台終端受到影響。推廣的形式包括但不限於彈窗、創建快捷方式、托盤廣告等等，嚴重影響用戶的正常體驗。

值得一提的是，這些軟件會通過各種方式，試圖規避安全軟件監測。其中，金山系軟件可以通過雲控下髮指令，且在彈窗時會監控當前環境中運行的安全分析工具、截圖類軟件，甚至會監聽鍵盤輸入，防止用戶對其進行分析或截屏。驅動人生系軟件則會靜默推廣廣告程序，並不定時彈出雙十一相關廣告內容。由於這兩類軟件的行為符合安全廠商對廣告程序的定義，火絨已對其進行查殺。

近年來，雙十一已經成為電商約定的促銷日，同時也逐漸成為各大軟件廠商進行流氓推廣的“狂歡節”。目前來看，除了一些日常的軟件廠商在此期間大肆推廣以外，甚至還有安全類廠商加入其中，企圖分一杯羹，其行為與常見的流氓推廣無異。在此，火絨呼籲廣大軟件廠商，在逐利的同時，也要守住商業底線，共同維護用戶的權益，謀求長期發展。

附：【分析報告】

一、 金山廣告模塊分析

金山系軟件（金山毒霸、驅動精靈、獵​​豹瀏覽器等）kwhcommonpop模塊會根據云控指令，隨機將廣告彈窗程序的文件名偽裝成安全軟件文件名，並且監控當前環境中運行的安全分析工具、截圖類軟件，甚至會監聽鍵盤輸入，防止用戶對其進行分析或截屏。涉及軟件，如下圖所示：

相關軟件列表

相關彈窗，如下圖所示，其中ashavast.exe為仿冒的Avast進程名：

廣告推廣界面

在測試環境中，該廣告程序多次偽裝成Avast、AVG和賽門鐵克等安全軟件進程名。相關現象，如下圖所示：

偽裝成安全軟件進程名的彈窗推廣程序

偽裝成Avast的廣告程序文件簽名信息，如下圖所示：

文件簽名信息

偽裝進程名並重啟後刪除文件相關代碼，如下圖所示：

相關代碼

偽裝安全軟件進程名相關配置，如下圖所示：

相關配置

上述配置文件中所包含的安全軟件程序名，所屬安全廠商。如下圖所示：

所屬安全廠商

除此之外，kwhcommonpop模塊還會監控當前環境中的分析工具進程的啟動，一旦發現存在配置中指定的分析工具，就會退出廣告彈窗進程。相關代碼，如下圖所示：

相關配置，如下圖所示：

被檢測的分析工具進程名

當用戶使用“PrintScreen”按鍵進行截圖時，剪切板會被清空。相關代碼，如下圖所示：

清空用戶剪切板

相關配置，如下圖所示：

相關配置

二、 驅動人生廣告模塊分析

我們近期監測到具有流氓推廣行為的驅動人生系軟件主要包括：USB寶盒、券GoGo、Realtek音頻管理器等。我們僅以Realtek音頻管理器為例，驅動人生近期曾疑似通過靜默推廣方式推廣過旗下流氓軟件，該軟件目錄中包含有一個名為realtek.exe的程序，該程序自稱為“Realtek音頻管理器” ，且該程序帶有驅動人生有效數字簽名。文件簽名信息，如下圖所示：

文件數字簽名信息

軟件功能界面，如下圖所示：

音頻管理器

雖然根據程序界面顯示具有一些軟件音頻配置修復類功能，但是在我們收到的眾多用戶反饋中，所有用戶均對電腦中存在這一軟件毫不知情，且沒有使用過該軟件所提供的任何功能。該軟件目錄中帶有推廣相關服務組件AERTSrv.exe，該組件會調用DTLPlugs目錄下的組件模塊進行廣告推廣，組件被調用後會創建托盤廣告彈窗。相關現象，如下圖所示：

托盤廣告

除此之外，最終被調用的彈窗程序還會偽裝成卡巴斯基的進程名進行啟動。相關代碼，如下圖所示：

偽裝卡巴斯基進程名

偽裝安全軟件進程名現象，如下圖所示：

偽裝安全軟件文件名

相關代碼包含有創建桌面快捷方式、彈窗廣告、托盤廣告、新聞mini頁等功能，如下圖所示：

廣告推廣代碼

創建雙十一相關廣告快捷方式相關代碼，如下圖所示：

創建桌面推廣快捷方式

三、 附錄

樣本hash