近日,腾讯御见威胁情报中心检测到大量流氓软件下载器每天感染近万台电脑,且有继续上升的趋势。软件流氓推装、恶意弹广告等行为早已是网民公愤,部分流氓软件推广者,精心设计了欺骗安装界面,在推荐软件的星标评级中隐藏难以发现的默认勾选标记;通过搜索搜索引擎广告假冒常用工具软件推广下载器。
这些推广手法成本极低,可谓“空手套白狼”:极低成本开发(篡改捆绑正规软件)、极低成本的欺骗页面,只需购买廉价的搜索广告。
隐藏在搜索引擎广告中的流氓软件下载器这类下载器工具在大部分场景下会给用户带来大量不需要的软件安装,同时会篡改浏览器主页,通过添加、劫持电商网站计费ID来获得收入,部分下载器还会借机传播病毒木马。我们提醒广大用户,尽量从自己所需软件的官方网站下载,或通过腾讯电脑管家的软件管理直接搜索下载,避免掉进软件下载器的捆绑陷阱。诱导安装新剧本下图为传统下载器的推广方式,在推广页面有较清晰的勾选按钮(大多默认勾选),至少给用户可选的推广安装项目。
在该场景中,用户手动去除勾选应当可只安装自己需要的软件。
图2 传统的软件推广安装界面流氓下载器使用的全新推装方式,则通过虚假热门软件推荐+星级评价做幌子,误导用户以为星星代表该热门软件的当前热度,而忽略掉第5颗星为默认的勾选项,点击“立即安装”右侧推荐的多个不需要的软件便会全部安装到用户电脑里。图3 流氓下载器全新的流氓推广方式该场景中右侧第五个星标中隐藏了难以发现的勾选项,对其局部放大,发现有个可选择的对勾。图4 放大看星级推荐后的选中按钮这个假冒Flash Player的软件,正是用户通过搜索“Flash Player”点击到的广告推荐网址,域名为lkmzv.cn,腾讯安全御见威胁情报中心已监测到其多次借助搜索引擎广告等方式进行流氓推广(见之前的报告:https://mp.weixin.qq.com/s/tzYPGN4IuWEYFNc402B92g),近期的监测数据表明:该推广域名再次活跃。
图5 假冒Flash Player官方网站的下载页空手套白狼的高效推广传统软件下载站通过推广软件来获利,会在提供软件的发布页面提供多个下载入口。例如下图中包含本地下载、高速下载链接。
当用户选择高速下载时,将会下载该软件的下载器,下载器会运行后会下载安装用户需要的软件,同时通过一些可取消的推广安装条目进行流量变现,实现下载站的盈利。
此类方式需要在相应下载站投入成本做好网站运营:比如有关软件的内容、版本维护、购买服务器带宽等等。图8 传统下载站的下载页面空手套白狼的新推广方式更加高效省钱,流氓下载器直接购买搜索引擎广告,将部分知名软件(Flash Player、photoshop、Wifi钥匙等等.....)关键词搜索结果做地区性买断。当用户搜索这些工具软件名称时,会被导流到高仿假冒官网下载页面,欺骗性极高。
此类推广成本极低,无需软件开发维护成本,只需购买搜索引擎的关键词广告服务,维护多个推广软件站点的单一模版页面即可。图9 另一个假冒PhotoShop的下载页对抗安全软件安全软件针对流氓下载器,会采取多维度的拦截,例如使用url拦截,文件拦截,推装拦截等手段。而流氓下载器为逃避安全软件拦截,也会采取病毒式的对抗手段,例如下载器本身无文件版本信息,无厂商信息,无签名信息,会频繁更新其推广站点,频繁更换其下载器MD5做安全规则规避,对抗成本极低。图10 流氓软件下载器的文件属性当流氓推装器运行结束后,会在用户电脑释放名为xserver_download001.exe的恶意程序,该程序会判断是否在虚拟机环境,如果是真实用户环境就将自身添加为系统服务,以便日后做进一步的推装软件,弹窗广告,劫持网页等操作。
