金山毒霸再借病毒安装，360推广平台成病毒温床

System-Administartor

2025-12-06 13:25:38

0次

软件的恶意推广行为是长期存在的行业乱象。部分群体为追求商业利益，采用捆绑安装、虚假诱导等不正当的推广手段进行强制推广，不仅严重影响着用户的使用体验，也破坏了公平竞争的市场环境。这类推广往往会利用技术手段绕过用户授权，不断挑战用户容忍底线、违背用户意愿强制安装软件，还会侵占设备存储空间、拖慢运行速度，更有甚者还会注入后门，侵犯用户隐私、窃取敏感信息，给本应便捷的网络体验带来困扰。

近日，火绒收到多位网友反馈，称在安装部分主流软件安装包时，被静默安装了金山毒霸、WPS、360画报等软件，甚至出现卸载后仍被再次安装的现象。鉴于此前已有不少用户反馈此类情况，火绒工程师高度重视，并从实施捆绑推广的恶意软件中捕获到一个病毒样本。火绒安全软件具备在不影响正常软件运行的前提下，精准查杀该病毒的能力。

查杀图

对该病毒样本进行重点跟踪分析发现，其通过捆绑ToDesk安装包的方式进行恶意传播。攻击者在安装包中植入名为soft_libexpat.dll的恶意动态链接库，并复制签名进行二次打包。该模块会通过指定URL网络获取恶意载荷DLL以实现后门功能，并通过计划任务实现后门持久化，构成了一套独立的后门攻击机制。值得注意的是，攻击者可以在远程DLL中实现任意恶意功能，包括但不限于系统控制、数据窃取等操作（目前已发现其具备多种进程注入、驱动注入功能）。火绒安全曾披露过金山毒霸的病毒推广行为，并对其进行详细分析，详细内容可参阅往期报告《金山毒霸“不请自来” 背后竟有黑产推波助澜》了解。被捆绑的程序相关信息如下。

捆绑程序(复制签名)

溯源分析发现，除了第三方软件（如ToDesk、网易云音乐、QQ音乐等）会被该病毒捆绑利用进行恶意推广之外，360安全浏览器推广平台传播的xxx系软件均携带此病毒。该病毒在执行阶段会静默安装360画报，最终在病毒、360画报与360安全浏览器推广平台之间形成闭环互推链条，导致大量用户在不知情的情况下被强制安装相关软件。该样本的恶意推广流程如下。

推广流程图

一、样本分析

样本执行流程图如下：

样本流程图

该样本采用Nullsoft Scriptable Install System（NSIS）进行封装打包，将正规远程控制软件ToDesk_4.7.6.3.exe与恶意组件共同打包，以此伪装成合法软件安装包。对其安装脚本文件进行解析发现，其中的恶意文件为soft_libexpat.dll。该恶意文件通过脚本初始化函数.onInit进行加载，同时释放正常的ToDesk安装程序进行伪装。

安装文件

NSIS Setup Script

首先，myFunction会通过WMIC命令以及底层驱动通信获取主板序列号、网卡PNP ID、MAC地址等信息。之后，获取环境配置以及区域标识，生成注册表项。

具体的WMIC命令如下：

ELECT PNPDeviceID FROM Win32_NetworkAdapter WHERE (MACAddress IS NOT NULL) AND (NOT (PNPDeviceID LIKE 'ROOT%'))

SELECT SerialNumber FROM Win32_DiskDrive SELECT SerialNumber FROM Win32_BaseBoard SELECT ProcessorId FROM Win32_Processor

SELECT SerialNumber FROM Win32_DiskDrive WHERE (SerialNumber IS NOT NULL) AND (MediaType LIKE 'Fixed hard disk%')

SELECT Manufacturer,Name,ProcessorId FROM Win32_Processor SELECT MACAddress FROM Win32_NetworkAdapter

注册表填充内容如下：

HKEY_CURRENT_USER\Software\Microsoft\kantu

"ud"：本机标识
"ch"：渠道标识
"of"：option flag
"act"：激活选项
"DateExt"：浏览器插件数据

WMIC

IOCTL获取配置信息

注册表操作

随后，利用获取到的本机配置信息ud以及当前进程环境数据（包括进程PID和进程名称），构造特定格式的URL并对其进行加密处理。之后，通过Get请求进一步获取网络下发的恶意DLL的地址。

加密前URL链接

Get请求

服务器返回伪装成图片的响应内容http://file.kantu365.com/file/img/repaint9/195.png。之后，样本再次请求该图片链接，最终在内存中加载获取到的DLL，执行第二阶段的恶意代码。

图片文件、内存加载DLL

进一步分析请求响应发现，样本会将加密之后的DLL进行回传，之后通过解密并内存加载PE的方式运行网络下发的DLL。

请求响应

解密PE

内存加载DLL

恶意DLL首先获取用于推广浏览器插件的链接http://file.kantu365.com/file/483/dataup22039.dat。具体操作如下：

样本在后台静默下载该数据文件。
通过重命名以及移动到浏览器插件目录的方式安装浏览器插件。

浏览器插件

之后，再次构造加密URL（http://xz.xtione.com/bit/vce?k=mkzM9E2Y54yM9Umd9QWdmkjLhNWN1UmZkZWNhhzY2IjNhJTYxUTO5UGN3EmZzQ2Nz0DdmcjNx0DZhZSOkZCM=0TYmATP）获取第二层恶意DLL及驱动注入文件。

加密前URL参数

发送Get请求

对响应内容进行解密，解密后的内容如下：

下载规则

1.恶意推广DLL：

begonia.jpg与ViewHelper.dll为功能相同的恶意推广模块。
通过计划任务持久化加载，具体命令行为C:\Windows\System32\rundll32.exe C:\Users\Admin\AppData\Local\sord\begonia.jpg,main 5。

2.内核级注入驱动：

zanbacng.jpg为伪装成图片的内核APC注入驱动，用于内核层PE注入进程执行。

之后，通过添加计划任务的方式加载begonia.jpg，具体命令行为

C:\Windows\System32\rundll32.exe C:\Users\Admin\AppData\Local\sord\begonia.jpg,main 5

计划任务

其次，样本会根据注册表获取WPS启动程序路径，并新建临时路径C:\Users\Admin\AppData\Local\temp\wps.csv的csv文件。

之后，构造命令行C:\Users\Admin\AppData\Local\Kingsoft\WPS Office\ksolaunch.exe C:\Users\Admin\AppData\Local\temp\wps.csv /startup_source=mengfan1，附加启动参数/startup_source=mengfan1进行隐藏窗口静默启动操作。

随后，通过启动参数进行流量暗刷。若启动成功，则发送请求执行信息上报操作。