软件的恶意推广行为是长期存在的行业乱象。部分群体为追求商业利益，采用捆绑安装、虚假诱导等不正当的推广手段进行强制推广，不仅严重影响着用户的使用体验，也破坏了公平竞争的市场环境。这类推广往往会利用技术手段绕过用户授权，不断挑战用户容忍底线、违背用户意愿强制安装软件，还会侵占设备存储空间、拖慢运行速度，更有甚者还会注入后门，侵犯用户隐私、窃取敏感信息，给本应便捷的网络体验带来困扰。

近日，火绒收到多位网友反馈，称在安装部分主流软件安装包时，被静默安装了金山毒霸、WPS、360画报等软件，甚至出现卸载后仍被再次安装的现象。鉴于此前已有不少用户反馈此类情况，火绒工程师高度重视，并从实施捆绑推广的恶意软件中捕获到一个病毒样本。火绒安全软件具备在不影响正常软件运行的前提下，精准查杀该病毒的能力。

查杀图

对该病毒样本进行重点跟踪分析发现，其通过捆绑ToDesk安装包的方式进行恶意传播。攻击者在安装包中植入名为soft_libexpat.dll的恶意动态链接库，并复制签名进行二次打包。该模块会通过指定URL网络获取恶意载荷DLL以实现后门功能，并通过计划任务实现后门持久化，构成了一套独立的后门攻击机制。值得注意的是，攻击者可以在远程DLL中实现任意恶意功能，包括但不限于系统控制、数据窃取等操作（目前已发现其具备多种进程注入、驱动注入功能）。火绒安全曾披露过金山毒霸的病毒推广行为，并对其进行详细分析，详细内容可参阅往期报告《金山毒霸“不请自来” 背后竟有黑产推波助澜》了解。被捆绑的程序相关信息如下。

捆绑程序(复制签名)

溯源分析发现，除了第三方软件（如ToDesk、网易云音乐、QQ音乐等）会被该病毒捆绑利用进行恶意推广之外，360安全浏览器推广平台传播的xxx系软件均携带此病毒。该病毒在执行阶段会静默安装360画报，最终在病毒、360画报与360安全浏览器推广平台之间形成闭环互推链条，导致大量用户在不知情的情况下被强制安装相关软件。该样本的恶意推广流程如下。

推广流程图

一、样本分析

样本执行流程图如下：

样本流程图

该样本采用Nullsoft Scriptable Install System（NSIS）进行封装打包，将正规远程控制软件ToDesk_4.7.6.3.exe与恶意组件共同打包，以此伪装成合法软件安装包。对其安装脚本文件进行解析发现，其中的恶意文件为soft_libexpat.dll。 该恶意文件通过脚本初始化函数.onInit进行加载，同时释放正常的ToDesk安装程序进行伪装。

安装文件

NSIS Setup Script

首先，myFunction会通过WMIC命令以及底层驱动通信获取主板序列号、网卡PNP ID、MAC地址等信息。之后，获取环境配置以及区域标识，生成注册表项。

具体的WMIC命令如下：

ELECT PNPDeviceID FROM Win32_NetworkAdapter WHERE (MACAddress IS NOT NULL) AND (NOT (PNPDeviceID LIKE 'ROOT%'))

SELECT SerialNumber FROM Win32_DiskDrive SELECT SerialNumber FROM Win32_BaseBoard SELECT ProcessorId FROM Win32_Processor

SELECT SerialNumber FROM Win32_DiskDrive WHERE (SerialNumber IS NOT NULL) AND (MediaType LIKE 'Fixed hard disk%')

SELECT Manufacturer,Name,ProcessorId FROM Win32_Processor SELECT MACAddress FROM Win32_NetworkAdapter

注册表填充内容如下：

HKEY_CURRENT_USER\Software\Microsoft\kantu 

• "ud"：本机标识

• "ch"：渠道标识

• "of"：option flag

• "act"：激活选项

• "DateExt"：浏览器插件数据

WMIC

IOCTL获取配置信息

注册表操作

随后，利用获取到的本机配置信息ud以及当前进程环境数据（包括进程PID和进程名称），构造特定格式的URL并对其进行加密处理。之后，通过Get请求进一步获取网络下发的恶意DLL的地址。

加密前URL链接

Get请求

服务器返回伪装成图片的响应内容09fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3k6A6L8r3g2Q4x3X3g2C8j5h3&6@1N6e0x3$3y4g2)9J5k6h3y4G2L8g2)9J5c8X3k6A6L8r3g2Q4x3V1k6A6L8h3N6Q4x3V1k6J5k6i4m8S2K9h3&6@1z5g2)9J5c8U0p5&6y4g2)9J5k6i4m8F1k6#2!0q4x3#2)9^5x3q4)9^5x3W2!0q4y4q4!0n7z5g2)9^5b7W2!0q4y4g2)9&6x3q4)9^5c8g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4W2!0m8x3q4!0n7y4#2!0q4y4W2)9&6b7#2!0m8b7#2!0q4y4g2)9^5y4W2)9^5c8q4!0q4y4W2!0m8b7#2!0m8x3g2!0q4z5q4!0m8c8W2!0n7y4#2!0q4y4W2!0n7x3g2)9^5x3W2!0q4z5q4!0m8c8W2!0m8y4g2!0q4y4g2)9&6b7W2!0n7c8g2!0q4y4#2)9^5z5g2)9^5y4#2!0q4z5g2)9&6x3#2!0n7c8g2!0q4y4W2)9^5c8g2!0m8y4g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4W2)9&6b7#2)9^5x3q4!0q4y4#2!0n7b7W2)9^5z5q4!0q4y4g2)9&6b7#2!0m8z5q4!0q4y4g2)9^5y4W2)9^5y4g2!0q4y4g2!0m8c8q4)9&6z5q4!0q4y4q4!0n7z5q4!0m8c8q4!0q4y4g2)9^5b7g2!0m8x3q4!0q4z5q4!0n7c8q4!0n7c8q4!0q4z5q4)9^5c8g2!0n7y4#2!0q4y4g2)9^5c8W2)9&6y4W2!0q4y4g2)9^5z5q4!0n7x3q4!0q4y4#2)9&6b7g2)9^5y4p5c8x3e0q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4W2)9^5z5g2!0m8y4#2!0q4z5q4!0m8x3g2)9^5b7#2!0q4y4#2!0m8b7#2!0m8b7#2!0q4y4q4!0n7b7g2)9^5b7#2!0q4z5g2)9&6z5q4!0n7y4W2!0q4y4W2!0m8c8g2!0n7y4g2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4W2)9^5x3g2!0n7y4W2!0q4y4W2)9^5y4q4)9^5c8W2!0q4y4q4!0n7b7W2!0m8x3#2!0q4y4#2!0m8x3q4)9^5x3g2!0q4x3#2)9^5x3q4)9^5x3R3`.`.

图片文件、内存加载DLL

进一步分析请求响应发现，样本会将加密之后的DLL进行回传，之后通过解密并内存加载PE的方式运行网络下发的DLL。

请求响应

解密PE

内存加载DLL

恶意DLL首先获取用于推广浏览器插件的链接e90K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3k6A6L8r3g2Q4x3X3g2C8j5h3&6@1N6e0x3$3y4g2)9J5k6h3y4G2L8g2)9J5c8X3k6A6L8r3g2Q4x3V1j5@1z5o6y4Q4x3V1k6V1j5i4c8S2N6i4l9J5x3U0l9K6z5g2)9J5k6h3c8S2N6q4!0q4x3#2)9^5x3q4)9^5x3W2!0q4y4g2)9^5y4g2!0n7y4#2!0q4y4q4!0n7c8q4)9&6x3#2!0q4y4W2)9&6x3#2)9^5c8q4!0q4y4q4!0n7c8q4)9&6b7#2!0q4y4g2!0m8y4W2)9^5x3W2!0q4y4q4!0n7z5q4)9^5b7W2!0q4c8W2!0n7b7#2)9&6b7b7`.`.

• 样本在后台静默下载该数据文件。

• 通过重命名以及移动到浏览器插件目录的方式安装浏览器插件。

浏览器插件

之后，再次构造加密URL（ff2K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4S2*7i4K6u0W2P5s2c8A6L8$3&6W2i4K6u0W2j5$3!0E0i4K6u0r3j5X3W2@1i4K6u0r3N6X3y4W2i4K6y4r3K9#2)9K6c8r3#2C8P5V1@1&6c8e0u0k6y4e0c8&6e0e0W2g2L8h3b7&6f1g2N6V1L8h3E0B7e0r3S2z5g2@1^5I4g2h3#2K9K9#2A6i4e0X3S2Z5P5W2V1J5d9h3A6z5K9p5A6f1h3i4S2g2g2p5)9#2g2f1N6z5x3@1g2E0h3Y4A6c8x3V1&6*7x3p5c8V1L8h3y4B7e0Y4R3H3c8q4A6Z5h3W2y4a6K9#2A6o6e0g2)9K6c8o6m8f1h3h3#2m8g2q4m8Q4c8f1k6Q4b7V1y4Q4z5o6W2Q4c8e0S2Q4z5p5g2Q4b7U0N6Q4c8e0g2Q4z5p5k6Q4z5e0k6Q4c8e0N6Q4b7f1y4Q4b7f1y4Q4c8e0c8Q4b7V1q4Q4z5p5y4Q4c8e0g2Q4b7U0q4Q4z5o6u0Q4c8e0k6Q4z5o6q4Q4b7U0k6Q4c8e0k6Q4z5o6c8Q4z5p5k6p5e0p5I4Q4c8e0g2Q4z5p5k6Q4z5p5q4Q4c8e0W2Q4b7e0W2Q4b7U0q4Q4c8e0g2Q4z5p5q4Q4b7e0S2Q4c8e0k6Q4b7U0y4Q4b7e0S2Q4c8e0g2Q4z5o6g2Q4b7e0g2Q4c8e0k6Q4z5e0k6Q4z5o6N6Q4c8e0c8Q4b7V1u0Q4b7U0k6Q4c8e0y4Q4z5o6m8Q4z5o6t1`.

加密前URL参数

发送Get请求

对响应内容进行解密，解密后的内容如下：

下载规则

1.恶意推广DLL：

• begonia.jpg与ViewHelper.dll为功能相同的恶意推广模块。

• 通过计划任务持久化加载，具体命令行为C:\Windows\System32\rundll32.exe C:\Users\Admin\AppData\Local\sord\begonia.jpg,main 5。

2.内核级注入驱动：

• zanbacng.jpg为伪装成图片的内核APC注入驱动，用于内核层PE注入进程执行。

之后，通过添加计划任务的方式加载begonia.jpg，具体命令行为

C:\Windows\System32\rundll32.exe C:\Users\Admin\AppData\Local\sord\begonia.jpg,main 5

计划任务

其次，样本会根据注册表获取WPS启动程序路径，并新建临时路径C:\Users\Admin\AppData\Local\temp\wps.csv的csv文件。

之后，构造命令行C:\Users\Admin\AppData\Local\Kingsoft\WPS Office\ksolaunch.exe C:\Users\Admin\AppData\Local\temp\wps.csv /startup_source=mengfan1，附加启动参数/startup_source=mengfan1进行隐藏窗口静默启动操作。

随后，通过启动参数进行流量暗刷。若启动成功，则发送请求执行信息上报操作。

静默启动WPS，流量暗刷

信息上报

对begonia.jpg进行分析发现，其开头与soft_libexpat.dll相同，通过注册表查询已写入日期的方式，判断当日是否已运行。之后采用同样的方式内存加载DLL，其DLL链接为e46K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3c8U0i4K6u0W2K9$3q4F1N6s2f1K6y4U0g2Q4x3X3g2U0L8$3#2Q4x3V1k6V1M7X3q4%4i4K6y4r3K9#2)9K6c8o6u0u0c8p5@1&6f1g2N6V1y4g2g2s2h3Y4N6k6g2@1^5J5k6$3A6k6L8p5A6i4h3U0c8k6K9W2A6&6c8e0u0k6x3f1W2i4e0e0g2U0g2q4W2E0d9e0u0k6K9X3S2f1e0Y4A6m8g2p5@1&6c8e0u0k6P5o6m8f1h3h3#2y4P5V1#2Z5h3V1y4y4z5g2q4E0d9U0W2c8L8V1A6%4x3p5c8K9P5e0m8f1h3X3E0K9f1@1&6%4j5@1c8y4x3f1W2p5e0h3I4K9d9r3y4B7h3X3W2z5P5g2A6E0d9U0f1H3K9X3x3I4d9i4A6y4z5e0l9J5j5Y4f1&6x3W2A6D9d9U0u0j5L8V1u0F1j5i4g2q4g2$3q4&6x3f1c8K9L8#2u0F1d9Y4A6%4c8$3u0C8y4g2N6V1L8g2g2s2k6h3H3#2K9f1@1#2x3r3A6U0L8q4Z5K6j5H3`.`.

622K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3k6A6L8r3g2Q4x3X3g2C8j5h3&6@1N6e0x3$3y4g2)9J5k6h3y4G2L8g2)9J5c8X3k6A6L8r3g2Q4x3V1k6A6L8h3N6Q4x3V1k6J5k6i4m8S2K9h3&6@1M7%4j5&6i4K6u0r3x3e0V1@1i4K6u0W2M7r3&6Y4

内存加载完成后，通过系统配置信息构造URL链接，以获取推广规则。该过程会根据渠道ID和日期，回传不同的推广规则响应。已经发现的规则如下。

推广规则

基于JSON数据进行分析并对样本行为进行检测发现，该样本的恶意推广行为有以下几种：

1.桌面快捷方式：创建名为“淘宝-全新版”的桌面快捷方式，其URL地址为95aK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6@1j5h3!0Q4x3X3g2A6N6r3g2E0N6Y4y4Q4x3X3g2U0L8$3#2Q4x3V1k6A6L8X3c8W2P5q4)9J5c8X3q4U0N6r3W2$3k6g2)9J5c8X3S2Q4x3V1k6V1k6i4y4C8i4K6u0r3K9s2c8E0L8q4!0q4x3#2)9^5x3q4)9^5x3R3`.`.

2.图标闪烁：通过桌面右下角动态闪烁图标（doubao.ico），结合诱导性文案“打破信息差办公助手，无限免费！”，吸引用户交互。点击后会跳转至nduo2.kanturj.com页面。闪烁时长为120秒、次数为1200次。

3.金山毒霸静默安装推广：后台自动下载安装包（duba_u18870798_sv1_224_3.exe），并跳转至携带追踪参数bc_fl_src=tbsite_hxJiwyWP的淘宝页面。

4.360画报SDK植入：下载360画报SDK动态链接库（cssdk.dll/cssdk64.dll），通过导出函数InstallHuabao和LaunchHuabao实现静默安装（注：该模块同时包含浏览器推广安装相关函数）。

5.进程注入行为：加载辅助模块（1018x32.dll/1018x64.dll）执行PE注入，且所有操作均具有静默安装功能，不会触发用户授权提示。

之后，创建一个多线程任务分发函数，主要功能是同时启动多个恶意行为线程，根据响应的JSON执行不同的功能：

• fn_shortcut：创建桌面快捷方式（诱导用户点击）。

• fn_ShellExecute：下载并执行外部程序（静默安装推广软件）。

• fn_flicker：图标闪烁（桌面右下角图标闪烁，吸引用户注意力）。

• fn_image：加载图片。

• fn_install_huabao：安装360画报SDK。

• fn_inject_proc：进程注入（将代码注入其他进程，规避检测或提权）。

• fn_gaige：下载DLL的远程线程注入PE模块。

功能线程派遣函数

fn_shortcut：网络获取推广快捷方式

fn_ShellExecuteW：下载执行

fn_flicker：图标闪烁

fn_image：加载图片

fn_install_huabao：安装360画报

360画报SDK

360画报锁屏广告

加载gaige模块

fn_gaige：进程注入

金山毒霸安装包

360画报SDK

驱动模块分析

其中，zanbacng.jpg为驱动注入模块，主要通过内核APC实现注入。该模块在DriverEntry中动态获取大量API，并通过加载shellcode的方式执行APC注入和注册相关进程回调。

驱动API动态获取

内核APC注入

对驱动中注入的PE进行dump分析发现，其与上文样本逻辑相同，仅将导出函数由update更换为Load LoadEx。该模块同样采用根据电脑配置生成注册表并将配置构造URL获取下发恶意DLL的方式执行推广。

样本PE

二、溯源分析

通过火绒情报分析系统发现，该恶意样本主要来源于主流软件的捆绑安装。部分安装包存在被恶意捆绑病毒利用的情况，具体安装包的文件名称如下。

恶意样本

对样本进行溯源分析发现，其多次对域名kantu365.com发送请求，该域名解析至IP地址47.96.83.235和101.28.133.116。进一步对网站进行分析，确认该域名归属于上海载盟信息技术有限公司。

以下是对域名的整理分析：

dc.kantu365.com(47.96.83.235)：用于获取恶意DLL地址，其原始页面为“空特游戏”；

file.kantu365.com(101.28.133.116)：用于网络下发DLL；

ecoc.xtione.com(36.150.235.79)：用于下载推广核心DLL，其原始页面为“每日星座运势”。

伪装网站

对相关域名进行观察分析发现，其下载载荷域名dc.kantu365.com每日访问量超过13万次。根据情报系统数据显示，每日受该病毒影响的设备数量已超过1万台。这表明该恶意推广活动已形成规模化传播链条。目前，火绒已支持对此病毒的查杀，病毒的传播态势已显著下降。

域名访问量

查杀趋势

进一步对此次发现的样本进行溯源分析发现，其来源于360浏览器推广计划(b51K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1M7X3!0%4M7$3g2J5i4K6u0W2x3K6j5H3i4K6u0W2j5$3&6Q4x3V1k6K6k6g2)9J5c8Y4y4W2i4K6g2X3N6s2g2A6k6%4g2S2L8X3N6Q4y4h3k6V1L8%4N6F1L8r3!0S2k6q4)9#2k6X3y4G2L8X3k6A6k6#2)9J5k6h3S2@1L8h3I4Q4x3U0W2Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0W2Q4z5o6m8Q4z5f1q4Q4c8e0S2Q4b7V1k6Q4z5o6N6Q4c8e0g2Q4z5f1k6Q4z5f1k6Q4c8e0g2Q4z5e0m8Q4z5p5c8W2j5$3!0V1K9i4u0Q4x3X3g2^5N6r3W2G2L8X3g2Q4x3X3g2U0L8$3#2Q4c8e0S2Q4b7V1k6Q4z5e0S2Q4c8e0g2Q4z5p5k6Q4z5e0q4Q4c8e0N6Q4z5p5g2Q4b7U0m8Q4c8e0c8Q4b7V1q4Q4z5o6k6Q4c8e0g2Q4z5o6g2Q4b7U0k6Q4c8e0c8Q4b7V1u0Q4z5e0k6Q4c8e0g2Q4z5p5c8Q4z5o6q4Q4c8e0g2Q4z5o6N6Q4b7e0m8Q4c8e0k6Q4b7f1y4Q4b7V1g2Q4c8e0S2Q4b7V1c8Q4b7f1k6Q4c8e0c8Q4b7V1u0Q4b7U0k6Q4c8e0c8Q4b7U0W2Q4z5f1k6Q4c8e0g2Q4b7f1c8Q4z5e0S2Q4c8e0g2Q4z5f1y4Q4b7e0S2Q4c8e0k6Q4z5o6q4Q4b7U0k6Q4c8e0k6Q4z5o6c8Q4z5p5k6Q4c8e0k6Q4z5p5g2Q4b7e0S2Q4c8e0g2Q4b7U0W2Q4b7V1k6Q4c8e0S2Q4b7e0q4Q4z5p5y4Q4c8e0c8Q4b7U0S2Q4b7V1q4Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4z5p5y4Q4z5o6g2Q4c8e0k6Q4z5p5u0Q4b7f1y4Q4c8f1k6Q4b7V1y4Q4z5f1p5`.

• 教育类：超星学习通；

• 音乐类：QQ音乐、酷狗音乐；

• 工具类：搜狗输入法；

• 视频类：哔哩哔哩、咪咕视频、央视影音、西瓜视频；

• 办公类：腾讯会议、飞书；

• 电商类：拼多多商家平台。

360推广

继续分析发现，通过360官方推广渠道下载的“360下载器”附带了360签名证书。该下载器在运行后，会下载本次分析的恶意样本，并加载恶意DLL进行恶意软件推广，最终实现360画报、金山毒霸等软件的静默安装。目前火绒已支持对该恶意网站codir.xtione.com进行拦截。

360官方下载器

下载拦截

三、附录

C&C:

HASH:

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！