诱骗安装又出新剧本 搜索竞价“空手套白狼”

2019-10-23 来源:原创 作者:腾讯电脑管家
【文章摘要】腾讯安全御见威胁情报中心检测到大量流氓软件下载器每天感染近万台电脑,且有继续上升的趋势。软件流氓推装、恶意弹广告等行为早已是网民公愤,部分流氓软件推广者,精心设计了欺骗安装界面,在推荐软件的星标评级中隐藏难以发现的默认勾选标记;通过搜索搜索引擎广告假冒常用工具软件推广下载器。

近日,腾讯御见威胁情报中心检测到大量流氓软件下载器每天感染近万台电脑,且有继续上升的趋势。软件流氓推装、恶意弹广告等行为早已是网民公愤,部分流氓软件推广者,精心设计了欺骗安装界面,在推荐软件的星标评级中隐藏难以发现的默认勾选标记;通过搜索搜索引擎广告假冒常用工具软件推广下载器。

这些推广手法成本极低,可谓“空手套白狼”:极低成本开发(篡改捆绑正规软件)、极低成本的欺骗页面,只需购买廉价的搜索广告。

隐藏在搜索引擎广告中的流氓软件下载器

这类下载器工具在大部分场景下会给用户带来大量不需要的软件安装,同时会篡改浏览器主页,通过添加、劫持电商网站计费ID来获得收入,部分下载器还会借机传播病毒木马。我们提醒广大用户,尽量从自己所需软件的官方网站下载,或通过腾讯电脑管家的软件管理直接搜索下载,避免掉进软件下载器的捆绑陷阱。

诱导安装新剧本

下图为传统下载器的推广方式,在推广页面有较清晰的勾选按钮(大多默认勾选),至少给用户可选的推广安装项目。在该场景中,用户手动去除勾选应当可只安装自己需要的软件。

2 传统的软件推广安装界面

流氓下载器使用的全新推装方式,则通过虚假热门软件推荐+星级评价做幌子,误导用户以为星星代表该热门软件的当前热度,而忽略掉第5颗星为默认的勾选项,点击“立即安装”右侧推荐的多个不需要的软件便会全部安装到用户电脑里。

3 流氓下载器全新的流氓推广方式

该场景中右侧第五个星标中隐藏了难以发现的勾选项,对其局部放大,发现有个可选择的对勾。

4 放大看星级推荐后的选中按钮

这个假冒Flash Player的软件,正是用户通过搜索“Flash Player”点击到的广告推荐网址,域名为lkmzv.cn,腾讯安全御见威胁情报中心已监测到其多次借助搜索引擎广告等方式进行流氓推广(见之前的报告:https://mp.weixin.qq.com/s/tzYPGN4IuWEYFNc402B92g),近期的监测数据表明:该推广域名再次活跃。

5 假冒Flash Player官方网站的下载页

空手套白狼的高效推广

传统软件下载站通过推广软件来获利,会在提供软件的发布页面提供多个下载入口。例如下图中包含本地下载、高速下载链接。当用户选择高速下载时,将会下载该软件的下载器,下载器会运行后会下载安装用户需要的软件,同时通过一些可取消的推广安装条目进行流量变现,实现下载站的盈利。此类方式需要在相应下载站投入成本做好网站运营:比如有关软件的内容、版本维护、购买服务器带宽等等。

8 传统下载站的下载页面

空手套白狼的新推广方式更加高效省钱,流氓下载器直接购买搜索引擎广告,将部分知名软件(Flash PlayerphotoshopWifi钥匙等等.....)关键词搜索结果做地区性买断。当用户搜索这些工具软件名称时,会被导流到高仿假冒官网下载页面,欺骗性极高。此类推广成本极低,无需软件开发维护成本,只需购买搜索引擎的关键词广告服务,维护多个推广软件站点的单一模版页面即可。

9 另一个假冒PhotoShop的下载页

对抗安全软件

安全软件针对流氓下载器,会采取多维度的拦截,例如使用url拦截,文件拦截,推装拦截等手段。而流氓下载器为逃避安全软件拦截,也会采取病毒式的对抗手段,例如下载器本身无文件版本信息,无厂商信息,无签名信息,会频繁更新其推广站点,频繁更换其下载器MD5做安全规则规避,对抗成本极低。

10 流氓软件下载器的文件属性

当流氓推装器运行结束后,会在用户电脑释放名为xserver_download001.exe的恶意程序,该程序会判断是否在虚拟机环境,如果是真实用户环境就将自身添加为系统服务,以便日后做进一步的推装软件,弹窗广告,劫持网页等操作。

6 检测到不在虚拟机环境,就添加为系统服务

7 检测到虚拟机环境时,弹出错误提示

解决方案

针对流氓下载器的恶劣表现,腾讯安全通过腾讯电脑管家、腾讯御点等终端产品对恶意下载器进行全面拦截,防止用户受害。具体措施如下:

1.根据云端规则鉴定判黑后,当用户下载、运行流氓下载器时,进行拦截。

11 下载保护的拦截

12 病毒查杀清除恶意下载器

2.根据违规软件标准,对违规下载器分类鉴别后,上线对应规则通过实时防护进行拦截

13 管家实时防护拦截下载器安装软件


3.对于使用恶意渠道被恶意推装的程序,经云规则判定后,提示用户在安装可能不需要的软件

14 拦截不需要的软件安装

4.通过浏览器拦截恶意下载器的下载

15 拦截恶意下载器的下载

5.推荐用户通过腾讯电脑管家的软件管理功能安装软件,避免安装不需要的软件。

16 通过软件管理安装需要的软件

IOCs

Domain

www.ldhdg.top

www.jljckj1.cn

www.lkmzv.cn

URL:

i.ttd7.cn/getsoft

xzqlog.ttz3.cn/api/xzqdata

download.ttz3.cn/svr/xserver_download001.exe

MD5:

ae5f9348886d26d598a1eebceeea961b

f7a899acf67bf4af6722bd644dab8d53

e5bbc233346f217f46bd4af8ca9ccb6a

e06607e6dfdd3b61fed079644146a89c

eda38e9c02c8db5c57d28145f0c8dc86

9d7ada140307271a83a757373593e85e

d9348511dd3ed9d220f6e44924718ef9

f6c2129caffa431988e9ac634d7582b6

a26b8265c7b27ff379dc4b23eac1b59c

a71b69f32e9d33ad109b772f95db7a8a 

c6e0fcf45f38bb660c635c562bdd2b81

9e52682c3d3c914d88295c4624f49b68

bc45bfd7b1c26a711c51f33cf48c53b0

eacfa613fb4c1e6b6180b5ee5453e529

e630ee29e783781cf2d20b445012cd88

a9c77e18fdc47665862ebd30ca63ec1d

bb1fd9152063418c9adf7fb1bd93f85a

e90c4da631cb8871276222aea5399afd

ffbfe5a45889e263c387d55975d51368

b1378c7ed010f2e130b2fc4302b66204

ab4b69ebd902b67bdda5636ed7780ece

eb66e314bc2ecfbbd3771ff6105e1236

fc4f80cbf48e126c125b1e524b775e1e

e34e62d2580f558f27d0bf8af851ee93

c2e9e8044d25373d43f1ac79f38cb5b3

be2feaf71487f683ee5a55075cc2c24f

a7781616a2bc50856d49091860db50a8

c7d9b0ee338243dfcf6564fa87a3a5b6

d522d84d4cf83798508dfd1812bf9a73

5e31576f7acb21e38c0eda83b0484b1f

b98154b7f9ebce8a8542dfa55e564dff

a4d557ac755cd4eeaf0843a5eb3545ab

33f3dea54e67441a343e89d23f79c7e9

1eb54315efc36b69e97fa0c594f7fce6

2f1488ef79a614fd97f634d8df572291

电脑管家V13.3

权限雷达全新升级

详情>>

版本更新:2019.5.6