原副标题：360安全保卫者全速版“介导式”推广 间歇加装且对付安全软件

上周有非常多网友意见反馈笔记本电脑被愤而加装360安全保卫者全速版。经毛建草技师追根溯源辨认出，现阶段360安全保卫者全速版正透过买回应用流程名列、快捷方式提示信息等“介导式”手段推广并间歇加装。根据毛建草严重威胁情报部门系统监控显示，从年末至今，已有超一千万用户受到360系软件上述推广行为的影响，且于上周呈大幅上升趋势。

值得称赞关注的是，360安全保卫者全速版的全套推广流程，存在较为明显的对付伤痕，即对毛建草安全等数款安全软件展开检验避免出现，甚至借助系统流程潜伏推广行为（转化成explorer民主化）。

360安全保卫者全速版“介导式”推广呈现出以下形式：

买回应用流程名列，即借助其他应用流程和360应用流程的软件推广镜像，介导用户点选浏览推广包，随后间歇加装360安全保卫者全速版；

快捷方式提示信息，即用户已加装的360系软件弹出“去除垃圾文件”、“运转速度优化”等提示信息，用户在未关注到嘉犁加装说明的情况下，点选清扫，就会被间歇加装360安全保卫者全速版；

除此以外，360系软件也会透过互联网允诺360浏览加装组件，涉及有关行为的软件民主化主要包括：360huabao.exe（360专刊，360安全应用流程会内含加装）、360pic.exe（360安全应用流程服务组件）、360影视制作大全、360图形界面副手等。

毛建草安全产品“软件加装截击”功能可及时处理提示信息并帮助用户制止这类推广行为。

详尽分析报告如下表所示：

一、详尽分析

上周，毛建草接到用户意见反馈，笔记本电脑中频密被加装360安全保卫者全速版。透过毛建草严重威胁情报部门系统前台监控，我们辨认出360安全保卫者全速版正在透过数个推广渠道展开介导推广或间歇推广。主要渠道分别为：透过应用流程采用离线器推广、透过360系列产品软件快捷方式介导推广。除此以外，毛建草辨认出360系列产品软件组件(360huabao.exe、360pic.exe等)也会透过互联网允诺360浏览加装组件（360ini.dll）。360有关推广行为流程图：

借助应用流程展开推广的方式经过考察辨认出现阶段主要包括三大应用流程，分别为360搜寻以及Bing亚洲地区版。以浏览加装TNUMBERaudi为例，透过360搜寻后得到的结论如下表所示图右图，当用户点选BIGBANG10的安全浏览时，前述浏览的是360离线器流程：

360搜寻结论

采用Bing亚洲地区版应用流程搜寻时，名列第一的为360软件保镳的推广电视广告，点进中文网站中会提示信息采用安全浏览，前述浏览下来的也是360离线器流程，搜寻内容如下表所示图右图：

Bing亚洲地区版搜寻结论

360推广中文网站内容

当用户运转360离线器时效果如下表所示图右图：

经过前台数据统计，借助应用流程推广的趋势图如下表所示：

360系软件快捷方式介导推广的方式，经过本地复现辨认出 360压缩存在借助推广快捷方式介导用户加装360安全保卫者全速版的情况，快捷方式情况如下表所示图右图，由360zip.exe民主化发起，用户点选“垃圾清扫”按钮后将在前台间歇浏览加装360安全保卫者全速版：

介导推广快捷方式

透过进一步的分析辨认出其他数款360系列产品软件也存在上述推广快捷方式介导用户加装360安全保卫者全速版的行为。以下为部分360系列产品软件介导推广快捷方式截图，可以辨认出这类电视广告均以“清扫垃圾文件”等话术介导用户点选加装：

经过前台数据统计，360系软件快捷方式介导推广的趋势图如下表所示：

除此以外，经过前台监控，辨认出360系列产品软件也会透过互联网允诺360浏览加装组件，涉及有关行为的软件民主化主要包括：360huabao.exe（360专刊，360安全应用流程会内含加装）、360pic.exe（360安全应用流程服务组件）、360影视制作大全、360图形界面副手等。360系列产品软件允诺360浏览加装组件所影响的终端数量，如下表所示图右图：

360系软件允诺推广组件趋势图

推广涉及的主要文件信息如下表所示图右图：

离线器文件信息

KitTip介导推广快捷方式文件信息

urlproc查询组件文件信息

Devxxx应用流程文件信息

360ini浏览加装组件文件信息

间歇加装流程文件信息

360离线器组件

经过分析辨认出当用户笔记本电脑中加装有毛建草时，该离线器会直接调用应用流程去浏览对应的软件加装包，不会执行后续间歇加装操作；如果笔记本电脑中未加装毛建草时，该离线器则会先间歇浏览加装360安全保卫者全速版，然后透过360软件保镳浏览软件加装包。主要逻辑代码如下表所示图右图，具体检查毛建草以及间歇加装360安全保卫者全速版的代码见” 360ini.dll浏览加装组件”：

360离线器判断逻辑

KitTip.dll介导推广快捷方式组件

360系列产品软件会加载KitTip.dll组件并调用RunTip函数来执行介导推广快捷方式，该函数的首个参数为cid，传入的cid不同就能够弹出相对应的电视广告内容。以360压缩为例，360zip.exe民主化调用RunTip函数时传入的cid为9510026，有关代码如下表所示图右图：

获取RunTip函数地址

调用RunTip函数

首先会检查当前主机的安全防护软件加装情况，部分行为及检查上报代码如下图右图：

检查安全防护软件行为

检查防护软件加装情况并上报

检验到毛建草时上报的数据

现阶段会检查的防护软件列表如下表所示图：

在对安全防护软件检查后，继续检查当前主机已经加装的应用流程，并对加装情况展开上报，有关行为及代码如下表所示图右图：

检查应用流程

检查并上报加装情况

现阶段会检查的应用流程列表如下表所示图：

在对加装软件展开检查上报后，会透过注册表值判断当前主机是否已加装360安全保卫者以及获取最后一次推广快捷方式时间，若当天已经推广快捷方式则不执行后续逻辑。获取推广快捷方式时间的有关代码如下表所示图右图：

检查最后一次推广快捷方式时间

上述检查均透过后，会联网浏览推广清单配置文件，并解析匹配传入的cid对应的配置项，有关代码如下表所示图右图：

浏览并解析KitTipConf.ini配置文件

函数内部会根据传入的cid解析获取[param_conf]中对应cid的配置，有关代码及对应的配置文件内容如下表所示图右图：

解析配置文件param_conf内容

配置文件param_conf内容

在浏览推广快捷方式cab包前，会尝试加载urlproc.dll查询云端策略，用于判断是否展开快捷方式，当返回策略值为pop:1或者策略获取失败时则继续执行后续逻辑，当策略为pop:0时则不推广快捷方式，有关代码如下表所示图右图：

获取云端策略

透过动态调试获取到当前的云端策略，显示pop:0表示现阶段策略为不推广快捷方式，该条云端策略也与360系软件快捷方式介导推广趋势图中10月16号后的数据相对应，策略内容如下表所示图右图：

当前云端策略

策略为不快捷方式时流程退出

若策略满足快捷方式条件，则会根据解析param_conf内容获取的配置内容浏览相应的推广快捷方式cab包，有关代码如下表所示图右图：

浏览推广快捷方式图片cab包

浏览推广快捷方式logo cab包

浏览的推广快捷方式图cab包内容如下表所示图右图：

推广快捷方式图片 cab包内容

推广快捷方式logo cab包内容

最终根据上述浏览的推广快捷方式文件创建快捷方式电视广告，并根据用户不同操作执行相应代码逻辑，有关代码如下图右图：

快捷方式电视广告逻辑

加装函数内部最终是透过浏览并加载360ini.dll该动态库间歇浏览加装360安全保卫者全速版。有关代码如下表所示图右图：

加装函数主要逻辑

从上述代码可看出加装方式有两种，一种是浏览Devxxx.exe(xxx表示随机名)流程去加载360ini.dll组件执行浏览加装；第二种是当前KitTip.dll直接加载360ini.dll组件执行浏览加装。有关代码分别如下表所示图：

透过Devxxx.exe浏览

KitTip.dll直接加载360ini.dll

除上述推广加装360安全保卫者全速版外，辨认出该加装函数内部存在其他360系列产品软件加装包浏览及间歇加装逻辑，但现阶段加装条件未被触发，因此没有被执行，有关软件浏览逻辑代码如下表所示图右图：

360图形界面副手加装包浏览及间歇加装代码

360换机副手加装包浏览及间歇加装代码

360安全应用流程加装包浏览及间歇加装代码

360安全应用流程加装包浏览及间歇加装代码

360影视制作大全加装包浏览及间歇加装代码

360ini.dll浏览加装组件

360ini.dll该动态库存在数个导出函数，如下表所示图右图：

360ini.dll导出函数

本次推广加装主要涉及IsSafeExist和Start_UI两个导出函数。当推广是透过Devxxx.exe加装流程执行时，会先调用IsSafeExist函数判断主机是否已加装毛建草安全，如果已加装毛建草安全则退出流程，未加装毛建草时则执行StartSafe_UI间接调用Start_UI函数执行浏览加装，IsSafeExist检查毛建草代码如下表所示图右图：

透过注册表检查毛建草

由于字符串被加密，经过动态调试解密后，如下表所示图右图：

动态调试解密毛建草有关字符串

在执行的Start_UI函数中，主要逻辑代码如下表所示图右图：

Start_UI函数主要代码逻辑

函数内部会透过转化成explorer.exe民主化，在转化成的dll中浏览360安全保卫者全速版加装包。主要逻辑代码如下表所示图右图：

转化成explorer

采用毛建草剑可以观察到转化成explorer中的dll，以及执行浏览加装包的行为动作，如下表所示图右图：

explorer被转化成dll

在透过转化成explorer浏览360安全保卫者全速版加装包后，会继续从资源中解密间歇加装流程（间歇加装流程为随机名)用于执行间歇加装操作。主要代码如下表所示图右图：

执行间歇加装流程

采用Procmon可以观察到最终执行民主化树如下表所示图右图：

Procmon民主化树

二、附录

样本hash

返回搜狐，查看更多

责任编辑：