腾讯电脑管家发现一款名为Playbox的流氓软件频繁在用户电脑弹出广告,在安装卸载程序上动手脚,安装时会把软件分别写入两个目录。卸载时,会检测用户IP,如果不在北上广深这4个一线城市,Playbox就会卸载一份保留另一份,然后在用户电脑继续弹广告刷流量创建某网址导航站的快捷方式。据腾讯电脑管家的监测数据,该流氓软件大约影响了超过4万台电脑。
Playbox流氓软件的签名信息(疑似来自昆山创酷某科技公司)
该软件的安装目录为Playbox,释放桌面快捷方式显示为“大小游戏”,进程窗口显示为“玩玩游戏”,该流氓软件的主要传播渠道为多个软件下载站的下载器。
而该程序安装时会释放出两份,分别位于两个目录:“AppData\Local\PlayBox”目录和“AppData\Roaming\PlayBox”目录。在目录“AppData\Local\PlayBox”中有卸载程序Uninstall.exe,另一个目录中没有。
安装释放文件目录1(有卸载程序)
同时释放文件目录2(无卸载程序)
Playbox的卸载程序运行时,会通过上传IP查询用户的城市信息。
如果在北上广深一线城市则可以正常卸载,若在其他城市则保留第2份目录中的文件,同时卸载程序Uninstall.exe启用目录2中的程序xiaoda.exe、xiaodahp.exe自动加载,使得该软件在被卸载后依然完好无损,只是启动的进程更换到另一个目录。
卸载程序删除目录1
卸载程序启动目录2中进程xiaoda.exe
最后,该软件看似已经卸载,实际文件还在,软件的后台进程依然在运行中。
xiaoda.exe和xiaodahp.exe还会隐藏进程窗口,从而在后台访问广告链接(后台广告刷量骗钱)
(xiaodahp.exe隐藏的富媒体窗口)
(xiaoda.exe隐藏的IE窗口)
(进程模拟点击代码)
该软件安装时还会静默释放桌面快捷导航,指向地址:hxxp://sdfasf.210996.com/
Playbox在运行过程中还会弹出广告,广告框并不标识来源,让用户无法发现广告是哪个软件弹出的。同时,还将广告窗口的关闭按钮减淡显示,使肉眼难以发现,也就无法快速关闭广告框。
同时在升级提示过程中,显示推装勾选项同样减淡显示,使用户无法注意到而错误进行下一步安装。
推荐使用腾讯电脑管家中的权限雷达(官网下载地址:https://guanjian.qq.com/),权限雷达支持用户自主掌控和管理所安装软件的各项权限,帮助拦截任意软件的广告弹窗行为及开机自启行为,让用户摆脱违规软件的各种骚扰。