鼠标“美容”风险高,换肤后竟被植入10根“异物”-根文件系统

360安全中心近期接到网民求助,称使用一款名为“鼠标皮肤大师”的软件后,电脑会自动出现多款陌生软件,这些软件安装时没有任何提示,属于强制静默安装,并发生浏览器主页被锁死、系统卡慢等情况,影响用户正常使用电脑。

经过反病毒工程师调查确认,国内部分下载平台提供的“鼠标皮肤大师”安装包存在恶意推广行为,该安装包带有“Beijing Ki*** Se*** software Co.,Ltd”的有效数字签名,它在安装后会通过云端控制下发恶意推广程序,签名属于“珠海有量网络科技有限公司”。由于具有知名厂商的有效数字签名,一些杀毒软件因此将其识别为合法软件而没有查杀,其传播量达到每天40余万次,并仍在持续上涨。

分析发现,“鼠标皮肤大师”的恶意推广程序与去年7月国内多省爆发的软件升级劫持使用了相同的云控推广列表、云控服务器地址,疑似出自同一黑产团伙。(相关事件:全国多省爆发大规模软件升级劫持攻击 http://www.freebuf.com/news/139206.html)

目前,360安全卫士已对带有恶意推广行为的“鼠标皮肤大师”进行报毒查杀和自动拦截处理,请用户注意选择可信渠道下载软件,并开启安全软件实时防护拦截恶意推广行为。

以下为样本分析:

“鼠标皮肤大师”是一款为鼠标设计的美化软件,暗藏恶意推广程序的“鼠标皮肤大师”主要通过国内部分下载平台传播,如下图:

鼠标“美容”风险高,换肤后竟被植入10根“异物”

该安装包的数字签名为“Beijing Ki*** Se*** software Co.,Ltd”,它在安装后会云控下发一个名为ssk_p.exe的程序,由此程序进行静默推广,这个恶意推广程序的数字签名属于“珠海有量网络科技有限公司”:

鼠标“美容”风险高,换肤后竟被植入10根“异物”鼠标“美容”风险高,换肤后竟被植入10根“异物”

恶意程序的云控推广列表配置文件的内容经过base64+DES加密,云控文件地址为http://bjft**.cdn.powercdn.com/mb/push/0101/1008/tt0.dat,DES密钥是“eh9ji8pf”,这与去年7月全国多省爆发的软件升级劫持的木马完全一致,云控地址的域名也是相同的bjft**.cdn.powercdn.com。

经过解密后可以发现,此次“鼠标皮肤大师”强制推广的共有十款软件,还包括一个GMCalendar的主页劫持及恶意推广木马。相关推广列表如下图,列表中包括十款推广软件名称、下载链接、程序启动参数、卸载对应的注册表项(用于判断软件是否已安装)等信息:

鼠标“美容”风险高,换肤后竟被植入10根“异物”

根据360网络安全研究院的监测数据,“鼠标皮肤大师”恶意程序的云控访问请求呈上升趋势,这意味着其传播量正在逐渐放大:

鼠标“美容”风险高,换肤后竟被植入10根“异物”

360安全卫士已对带有恶意推广行为的“鼠标皮肤大师”进行查杀和自动拦截处理,请用户注意选择可信渠道下载软件,并开启安全软件实时防护,能够全面拦截恶意推广行为。

鼠标“美容”风险高,换肤后竟被植入10根“异物”

---------------------------------------------------------

1.本文援引自互联网,旨在传递更多网络信息,仅代表作者本人观点,与本网站无关。

2.本文仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。

推荐阅读