雙11成流氓軟體狂歡節，侵權推廣頻次暴增200倍

前言

臨近雙十一，流氓軟體開啟一波推廣高潮。使用者只要安裝”2345好壓”、”2345看圖”、”2345拼音”、”2345瀏覽器”等2345家族軟體，都會被靜默推廣雙十一快捷方式。

事件解構

根據”火絨威脅情報中心”監測和評估，10月20日-24日，全網平均每天遭到此類流氓軟體推廣騷擾的使用者電腦高達1350餘萬臺，日均推廣次數為2550餘萬次，平均每臺電腦每天都會受到2次以上的流氓推廣。

根據上圖可以看出，上述軟體流氓推廣次數在18、19日為8-10萬次，20日急劇上升至1990餘萬次，約為此前的200倍，且在隨後繼續上升，最高達2598餘萬次。

此次推廣分為兩種方式，一種是桌面靜默推廣，會給使用者建立一個名為”天貓雙11十週年狂歡”的快捷方式；另一種是雙十一廣告彈窗。使用者點選後，都會跳轉至天貓雙十一活動主頁面。推廣任務執行前，使用者不會收到任何相關提示，且無法在軟體中關閉推廣功能。此外，軟體廠商可隨時遠端修改推廣內容和時間。

火絨工程師特別提醒，隨著雙十一臨近，流氓推廣的數量也會越來越多。火絨使用者可開啟【防護中心】-【系統加固】功能對此類流氓軟體的靜默安裝動作進行攔截（預設開啟）。另外，雙十一前後也是網購詐騙的高發期，想要在狂歡節血拼的網友們，對此也一定要提高警惕，以免遭受財產損失。

相關分析如下：

經過火絨分析發現，2345旗下四款軟體安裝後均會釋放Helper_xxxx。exe程式（如：2345好壓會Helper_Haozip。exe）。該程式執行後會載入%AppData%\Roaming\Helper_2345目錄下的HelperMain。dll動態庫，呼叫動態庫匯出函式HelperMain執行靜默推廣邏輯。廣告推廣配置相關資源被存放在%AppData%\Roaming\Helper_2345\Resource目錄下，根據現有配置，推廣動態庫可以執行兩種推廣行為，分別為釋放桌面快捷方式和彈出三種不同的廣告彈窗。

靜默釋放推廣快捷方式時火絨相關攔截日誌，如下圖所示：

火絨攔截日誌

廣告彈窗，如下圖所示：

全屏廣告彈窗

廣告推廣配置，如下圖所示：