本文主要是介绍“双11″成流氓软件狂欢节,侵权推广频次暴增200倍,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
前言
临近双十一,流氓软件开启一波推广高潮。用户只要安装”2345好压”、”2345看图”、”2345拼音”、”2345浏览器”等2345家族软件,都会被静默推广双十一快捷方式。
事件解构
根据”火绒威胁情报中心”监测和评估,10月20日-24日,全网平均每天遭到此类流氓软件推广骚扰的用户电脑高达1350余万台,日均推广次数为2550余万次,平均每台电脑每天都会受到2次以上的流氓推广。
根据上图可以看出,上述软件流氓推广次数在18、19日为8-10万次,20日急剧上升至1990余万次,约为此前的200倍,且在随后继续上升,最高达2598余万次。
此次推广分为两种方式,一种是桌面静默推广,会给用户创建一个名为”天猫双11十周年狂欢”的快捷方式;另一种是双十一广告弹窗。用户点击后,都会跳转至天猫双十一活动主页面。推广任务执行前,用户不会收到任何相关提示,且无法在软件中关闭推广功能。此外,软件厂商可随时远程修改推广内容和时间。
火绒工程师的特别提醒,随着双十一临近,流氓推广的数量也会越来越多。火绒用户可开启【防护中心】-【系统加固】功能对此类流氓软件的静默安装动作进行拦截(默认开启)。另外,双十一前后也是网购诈骗的高发期,想要在狂欢节血拼的网友们,对此也一定要提高警惕,以免遭受财产损失。
相关分析如下:
经过火绒分析发现,2345旗下四款软件安装后均会释放Helper_xxxx.exe程序(如:2345好压会Helper_Haozip.exe)。该程序运行后会加载%AppData%\Roaming\Helper_2345目录下的HelperMain.dll动态库,调用动态库导出函数HelperMain执行静默推广逻辑。广告推广配置相关资源被存放在%AppData%\Roaming\Helper_2345\Resource目录下,根据现有配置,推广动态库可以执行两种推广行为,分别为释放桌面快捷方式和弹出三种不同的广告弹窗。
静默释放推广快捷方式时火绒相关拦截日志,如下图所示:
广告弹窗,如下图所示:
广告推广配置,如下图所示:
这篇关于“双11″成流氓软件狂欢节,侵权推广频次暴增200倍的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!