02月11, 2014
0 comments

流氓推广那些事

不知大家是不是时不时的就会遇到这样的场景:电脑中莫名其妙的就多出来了一大堆不认识的程序,怎么想都不知道是什么时候装的;抑或是本来就想装个程序A,谁曾想人家程序A家里最近搞活动——买一送二十,顺带手就给你的电脑来了个“一键装机”的“优质”服务。如果你确有同感的话,那你一定是中了“流氓推广程序”。

什么是流氓推广?顾名思义——性质是“流氓”,目的是“推广”。他们会想尽一切办法把合作厂商的程序安装到你的电脑上,以此赚取丰厚的“推广费用”。而360安全中心对此类程序一直是杀无赦的态度。而最近从我们的后台数据中也发现了一些此类程序的新型变种,颇有意思,决定拿出来给大家共同把玩一下。

来源

首先说程序来源,这个很重要,要推广的第一步是要保证这些流氓推广程序本身能够进入到用户的电脑中,并被用户运行起来。那么如何做到这一点呢?此类程序的下载页面通常……

有这样的:

网站截图1

这样的:

网站截图2

还有……这样的……(为了本文能顺利发出而不至于收到有关部门的快递,对图像做了一些必要的处理,且处理范围略大……)

网站截图3m

我想大家也都明白,这种网站小朋友看了根本把持不住啊……结果当然是言听计从的人家让干什么就干什么,让装个播放器还不痛快?但你只要装了——就中招了!

分析

此类程序大多是NSIS安装包,直接解压即可看到里面的程序。但玄机却在NSIS脚本中。每个NSIS包都带有一个安装脚本,NSIS安装包除了释放包里的文件之外,还会根据这个脚本的内容做一些额外的工作。问题就在于此:

NSIS脚本截图m

一个163的博客是怎么回事?怀着好奇的心情打开了这个链接。

是一个名为“武汉雷胜IT教育中心”的博客里的一篇博文——《网站建设行业的前景思考》。

blog0

唔……写的貌似不错……虽然看不懂,但是感觉好厉害的样子。博文没什么问题啊。难道是程序里要推荐自己的博文么?真的这么文艺?

当我习惯性的查看页面源码的时候,我和我的小伙伴们都惊呆了……

这个pre元素的style属性的值是display:none是怎么个意思?为何要将这一段隐藏起来?有何居心?

blog1

细看下其中内容便豁然开朗:

[Soft0]
SoftTitle=Recommend
[Soft1]
SoftTitle=YinyueFM
SoftName=setup_3038.exe
SoftUrl=http://down.yinyue.fm/open/setup_3155.txt
SoftUrl2=http://down.yinyue.fm/open/setup_3155.txt
[Soft2]
SoftTitle=365weather
SoftName=365weatherIns_60.exe
SoftUrl=http://lm.beilequ.com/update/365/365weatherIns_60.rar
SoftUrl2=http://play001.b0.upaiyun.com/365weatherIns_60.txt
[Soft3]
SoftTitle=BaiduWeishi
SoftName=uqacmk_70067.exe
SoftUrl=http://our.lxhj.net/uqacmk_70067.txt
SoftUrl2=http://play001.b0.upaiyun.com/uqacmk_70067.txt
[Soft4]
SoftTitle=Rising
SoftName=setup1146568.exe
SoftUrl=http://rsdownload.rising.com.cn/middle12/rsfree/setup1146568.gif
SoftUrl2=http://rsdownload.rising.com.cn/middle12/rsfree/setup1146568.gif
[Soft5]
SoftTitle=Dianxin
SoftName=dianxin_silent[108].exe
SoftUrl=http://xz.ieanquan.com/download/dianxin_silent[108].txt
SoftUrl2=http://xz.ieanquan.com/download/dianxin_silent[108].txt
[Soft6]
SoftTitle=LieYan
SoftName=xkyy_31.exe
SoftUrl=http://our.lxhj.net/xkyy_31.gif
SoftUrl2=http://play001.b0.upaiyun.com/xkyy_31.gif
[Soft7]
SoftTitle=Wuji
SoftName=setup_open_3747.exe
SoftUrl=http://our.lxhj.net/setup_open_3747.txt
SoftUrl2=http://play001.b0.upaiyun.com/setup_open_3747.txt
[Soft8]
SoftTitle=Guangsu
SoftName=setup_qd206.exe
SoftUrl=http://down.guangsu.cn/qdn/setup_qd206.txt
SoftUrl2=http://down.guangsu.cn/qdn/setup_qd206.txt
[Soft9]
SoftTitle=Sonlinetime
SoftName=sonlinetime_1199.exe
SoftUrl=http://download.035668.com/onlinetime/sonlinetime_1199.txt
SoftUrl2=http://download.035668.com/onlinetime/sonlinetime_1199.txt
[Soft10]
SoftTitle=BaiduShadu
SoftName=zfocvyt_30520.exe
SoftUrl=http://our.lxhj.net/zfocvyt_30520.txt
SoftUrl2=http://play001.b0.upaiyun.com/zfocvyt_30520.txt
[Soft11]
SoftTitle=2345Explorer
SoftName=2345Explorer_314911_silence.exe
SoftUrl=http://our.lxhj.net/2345.txt
SoftUrl2=http://play001.b0.upaiyun.com/2345.txt
[Soft12]
SoftTitle=Kuping
SoftName=kuping4_b_51022.exe
SoftUrl=http://down.shuyeer.net/kuping4_b_51022.txt
SoftUrl2=http://down.shuyeer.net/kuping4_b_51022.txt
[Soft13]
SoftTitle=uCalendar
SoftName=s2222.exe
SoftUrl=http://down.xiaoxinrili.com/hezi/jm/s2222.txt
SoftUrl2=http://down.xiaoxinrili.com/hezi/jm/s2222.txt
[Soft14]
SoftTitle=WebGame
SoftName=KXWebBox_3314_R.exe
SoftUrl=http://our.lxhj.net/KXWebBox_3314_R.txt
SoftUrl2=http://play001.b0.upaiyun.com/KXWebBox_3314_R.txt
[Soft15]
SoftTitle=Jdrl
SoftName=wauee_jx014.exe
SoftUrl=http://down.jdrili.com/wauee_jx014.txt
SoftUrl2=http://down.jdrili.com/wauee_jx014.txt
[Soft16]
SoftTitle=SohuTV
SoftName=SoHuVA_4.2.0.88-c203949026-run-s-bgs-bdj-x.exe
SoftUrl=http://our.lxhj.net/SoHuVA_4.2.0.88-c203949026-run-s-bgs-bdj-x.txt
SoftUrl2=http://play001.b0.upaiyun.com/SoHuVA_4.2.0.88-c203949026-run-s-bgs-bdj-x.txt
[Soft17]
[Soft18]
SoftTitle=Funshion
SoftName=FunshionInstall_C171693.exe
SoftUrl=http://neirong.funshion.com/software/files/silent5/FunshionInstall_C171693.exe
SoftUrl2=http://play001.b0.upaiyun.com/FunshionInstall_C171693.txt
[Soft19]
SoftTitle=QIYImedia
SoftName=QIYImedia_C_01.exe
SoftUrl=http://our.lxhj.net/QIYImedia_C_01.txt
SoftUrl2=http://play001.b0.upaiyun.com/QIYImedia_C_01.txt
[Soft20]
SoftTitle=WanDouJia
SoftName=WanDouJiaSetup_zhimeng10_kb.exe
SoftUrl=http://dl.wandoujia.com/files/third/WanDouJiaSetup_zhimeng11_kb.txt
SoftUrl2=http://play001.b0.upaiyun.com/WanDouJiaSetup_zhimeng10_kb.txt
[Soft21]
SoftTitle=Ailiao
SoftName=al_bind_1.exe
SoftUrl=http://cot2.ailiao.tv:7045/90018_albind.exe
SoftUrl2=http://cot2.ailiao.tv:7045/90018_albind.exe
[Soft22]
SoftTitle=Xuanku
SoftName=xkss_50002.exe
SoftUrl=http://down.hzspzs.com/sousuo/xkss_50002.txt
SoftUrl2=http://down.hzspzs.com/sousuo/xkss_50002.txt
[Soft23]
SoftTitle=Jinshan
SoftName=vvkKAVSETUPS_66_131833.exe
SoftUrl=http://our.lxhj.net/vvkKAVSETUPS_66_131833.txt
SoftUrl2=http://play001.b0.upaiyun.com/vvkKAVSETUPS_66_131833.txt
[Soft24]
SoftTitle=Bianqian
SoftName=peuip_69_12345.exe
SoftUrl=http://download.laochehe.com/new/peuip_69_12345.txt
SoftUrl2=http://download.laochehe.com/new/peuip_69_12345.txt
[Soft25]
SoftTitle=Xiaocai
SoftName=setup_ggjm_zm478284.exe
SoftUrl=http://our.lxhj.net/setup_ggjm_zm478284.txt
SoftUrl2=http://play001.b0.upaiyun.com/setup_ggjm_zm478284.txt

从Soft0一直排到Soft25……总共24款推广软件(总共26项,Soft0只是一个“Recommend”的标签,并未推广软件;Soft17为空),蔚为壮观啊……

这些程序全都会被不知不觉的装到你的电脑里……想想就不寒而栗……

运行

将程序跑起来,也印证了我之前的想法——一上来就访问这个163的博客:

抓包截图1

从博客页面中获取推广列表,之后便是各种惨无人道的下载……

抓包截图2

以下是我虚拟机测试中的一个进程截图,圈出来的进程全都是正在推广的程序安装进程:

运行1m

很抱歉我没能多截几张——我的虚拟机被卡死了……

我相信中了招的用户机器即便不被卡到死机,也得是被卡到什么都干不了的地步了……

最后

对此类程序,360的原则一向是杀无赦。这个自不必多说:

拦截

同时这里也需要提醒广大网民——尤其是广大宅男们:下载软件一定要通过正规渠道,不要轻信各种小网站推荐的程序——即便看起来很有吸引力的样子……

本文链接:https://blogs.360.net/post/something_about_spread_programs.html

-- EOF --

作者 Luke Viruswalker 发表于 2014-02-11 14:11:43 ,添加在分类 样本分析 下 ,并被添加「 360safe 」标签 ,最后修改于 2018-08-23 02:31:35

分享到:新浪微博微信Twitter印象笔记QQ好友有道云笔记

Comments