近期有較多網友反饋電腦被無故安裝360安全衛士極速版。經火絨工程師溯源發現，目前360安全衛士極速版正通過購買搜索引擎排名、彈窗提示等“誘導式”手段推廣並靜默安裝。根據火絨威脅情報系統監測顯示，從年初至今，已有超千萬用戶受到360系軟件上述推廣行為的影響，且於近期呈大幅上升趨勢。

值得關註的是，360安全衛士極速版的整套推廣流程，存在較為明顯的對抗痕跡，即對火絨安全等多款安全軟件進行檢測規避，甚至利用系統程序隱匿推廣行為（註入explorer進程）。

360安全衛士極速版“誘導式”推廣呈現以下形式：

購買搜索引擎排名，即利用其他搜索引擎和360搜索引擎的軟件推廣鏈接，誘導用戶點擊下載推廣包，隨後靜默安裝360安全衛士極速版；

彈窗提示，即用戶已安裝的360系軟件彈出“清除垃圾文件”、“運行速度優化”等提示，用戶在未關註到小字安裝說明的情況下，點擊清理，就會被靜默安裝360安全衛士極速版；

除此之外，360系軟件也會通過網絡請求360下載安裝模塊，涉及相關行為的軟件進程包括：360huabao.exe（360畫報，360安全瀏覽器會附帶安裝）、360pic.exe（360安全瀏覽器服務組件）、360影視大全、360桌面助手等。

火絨安全產品“軟件安裝攔截”功能可及時提示並幫助用戶阻止此類推廣行為。

詳細分析報告如下：

一、詳細分析

近期，火絨收到用戶反饋，電腦中頻繁被安裝360安全衛士極速版。通過火絨威脅情報系統後臺監測，我們發現360安全衛士極速版正在通過多個推廣渠道進行誘導推廣或靜默推廣。主要渠道分別為：通過搜索引擎使用高速下載器推廣、通過360系列軟件彈窗誘導推廣。除此之外，火絨發現360系列軟件組件(360huabao.exe、360pic.exe等)也會通過網絡請求360下載安裝模塊（360ini.dll）。360相關推廣行為流程圖：

利用搜索引擎進行推廣的方式經過調研發現目前包括兩大搜索引擎，分別為360搜索以及Bing國內版。以下載安裝迅雷為例，通過360搜索後得到的結果如下圖所示，當用戶點擊紅框的安全下載時，實際下載的是360高速下載器程序：

360搜索結果

使用Bing國內版搜索引擎搜索時，排行第一的為360軟件管傢的推廣廣告，點進網站中會提示使用安全下載，實際下載下來的也是360高速下載器程序，搜索內容如下圖所示：

Bing國內版搜索結果

360推廣網站內容

當用戶運行360高速下載器時效果如下圖所示：

運行360高速下載器

經過後臺數據統計，利用搜索引擎推廣的趨勢圖如下：

利用搜索引擎進行推廣趨勢圖

360系軟件彈窗誘導推廣的方式，經過本地復現發現 360壓縮存在利用推廣彈窗誘導用戶安裝360安全衛士極速版的情況，彈窗情況如下圖所示，由360zip.exe進程發起，用戶點擊“垃圾清理”按鈕後將在後臺靜默下載安裝360安全衛士極速版：

誘導推廣彈窗

通過進一步的分析發現其他多款360系列軟件也存在上述推廣彈窗誘導用戶安裝360安全衛士極速版的行為。以下為部分360系列軟件誘導推廣彈窗截圖，可以發現這類廣告均以“清理垃圾文件”等話術誘導用戶點擊安裝：

360系列軟件誘導推廣彈窗

經過後臺數據統計，360系軟件彈窗誘導推廣的趨勢圖如下：

360系軟件彈窗誘導推廣趨勢圖

除此之外，經過後臺監測，發現360系列軟件也會通過網絡請求360下載安裝模塊，涉及相關行為的軟件進程包括：360huabao.exe（360畫報，360安全瀏覽器會附帶安裝）、360pic.exe（360安全瀏覽器服務組件）、360影視大全、360桌面助手等。360系列軟件請求360下載安裝模塊所影響的終端數量，如下圖所示：

360系軟件請求推廣模塊趨勢圖

推廣涉及的主要文件信息如下圖所示：

高速下載器文件信息

KitTip誘導推廣彈窗文件信息

urlproc查詢模塊文件信息

Devxxx下載器文件信息

360ini下載安裝模塊文件信息

靜默安裝程序文件信息

360高速下載器模塊

經過分析發現當用戶電腦中安裝有火絨時，該高速下載器會直接調用瀏覽器去下載對應的軟件安裝包，不會執行後續靜默安裝操作；如果電腦中未安裝火絨時，該高速下載器則會先靜默下載安裝360安全衛士極速版，然後通過360軟件管傢下載軟件安裝包。主要邏輯代碼如下圖所示，具體檢查火絨以及靜默安裝360安全衛士極速版的代碼見” 360ini.dll下載安裝模塊”：

360高速下載器判斷邏輯

KitTip.dll誘導推廣彈窗模塊

360系列軟件會加載KitTip.dll模塊並調用RunTip函數來執行誘導推廣彈窗，該函數的首個參數為cid，傳入的cid不同就能夠彈出相對應的廣告內容。以360壓縮為例，360zip.exe進程調用RunTip函數時傳入的cid為9510026，相關代碼如下圖所示：

獲取RunTip函數地址

調用RunTip函數

首先會檢查當前主機的安全防護軟件安裝情況，部分行為及檢查上報代碼如下圖所示：

檢查安全防護軟件行為

檢查防護軟件安裝情況並上報

檢測到火絨時上報的數據

目前會檢查的防護軟件列表如下圖：

防護軟件列表

在對安全防護軟件檢查後，繼續檢查當前主機已經安裝的瀏覽器，並對安裝情況進行上報，相關行為及代碼如下圖所示：

檢查瀏覽器e14d2a097a214d416fc4b1e025839364檢查並上報安裝情況

目前會檢查的瀏覽器列表如下圖：

d187b2384abfe78510690d33e7055e8e瀏覽器列表

在對安裝軟件進行檢查上報後，會通過註冊表值判斷當前主機是否已安裝360安全衛士以及獲取最後一次推廣彈窗時間，若當天已經推廣彈窗則不執行後續邏輯。獲取推廣彈窗時間的相關代碼如下圖所示：

檢查最後一次推廣彈窗時間

上述檢查均通過後，會聯網下載推廣清單配置文件，並解析匹配傳入的cid對應的配置項，相關代碼如下圖所示：

下載並解析KitTipConf.ini配置文件

函數內部會根據傳入的cid解析獲取[param_conf]中對應cid的配置，相關代碼及對應的配置文件內容如下圖所示：

解析配置文件param_conf內容

配置文件param_conf內容

在下載推廣彈窗cab包前，會嘗試加載urlproc.dll查詢雲端策略，用於判斷是否進行彈窗，當返回策略值為pop:1或者策略獲取失敗時則繼續執行後續邏輯，當策略為pop:0時則不推廣彈窗，相關代碼如下圖所示：

獲取雲端策略

通過動態調試獲取到當前的雲端策略，顯示pop:0表示現階段策略為不推廣彈窗，該條雲端策略也與360系軟件彈窗誘導推廣趨勢圖中10月16號後的數據相對應，策略內容如下圖所示：

當前雲端策略

策略為不彈窗時程序退出

若策略滿足彈窗條件，則會根據解析param_conf內容獲取的配置內容下載相應的推廣彈窗cab包，相關代碼如下圖所示：

下載推廣彈窗圖片cab包

下載推廣彈窗logo cab包

下載的推廣彈窗圖cab包內容如下圖所示：

推廣彈窗圖片cab包內容

推廣彈窗logo cab包內容

最終根據上述下載的推廣彈窗文件創建彈窗廣告，並根據用戶不同操作執行相應代碼邏輯，相關代碼如下圖所示：

4cfa8833c1c2a8dbf7f0d44ab72fdb2c彈窗廣告邏輯

安裝函數內部最終是通過下載並加載360ini.dll該動態庫靜默下載安裝360安全衛士極速版。相關代碼如下圖所示：

安裝函數主要邏輯

從上述代碼可看出安裝方式有兩種，一種是下載Devxxx.exe(xxx表示隨機名)程序去加載360ini.dll模塊執行下載安裝；第二種是當前KitTip.dll直接加載360ini.dll模塊執行下載安裝。相關代碼分別如下圖：

通過Devxxx.exe下載

KitTip.dll直接加載360ini.dll

除上述推廣安裝360安全衛士極速版外，發現該安裝函數內部存在其他360系列軟件安裝包下載及靜默安裝邏輯，但目前安裝條件未被觸發，因此沒有被執行，相關軟件下載邏輯代碼如下圖所示：

360桌面助手安裝包下載及靜默安裝代碼

360換機助手安裝包下載及靜默安裝代碼

360安全瀏覽器安裝包下載及靜默安裝代碼

360安全瀏覽器安裝包下載及靜默安裝代碼

360影視大全安裝包下載及靜默安裝代碼

360ini.dll下載安裝模塊

360ini.dll該動態庫存在多個導出函數，如下圖所示：

360ini.dll 導出函數

本次推廣安裝主要涉及IsSafeExist和Start_UI兩個導出函數。當推廣是通過Devxxx.exe安裝程序執行時，會先調用IsSafeExist函數判斷主機是否已安裝火絨安全，如果已安裝火絨安全則退出程序，未安裝火絨時則執行StartSafe_UI間接調用Start_UI函數執行下載安裝，IsSafeExist檢查火絨代碼如下圖所示：

通過註冊表檢查火絨

由於字符串被加密，經過動態調試解密後，如下圖所示：

動態調試解密火絨相關字符串

在執行的Start_UI函數中，主要邏輯代碼如下圖所示：

Start_UI函數主要代碼邏輯

函數內部會通過註入explorer.exe進程，在註入的dll中下載360安全衛士極速版安裝包。主要邏輯代碼如下圖所示：

註入explorer

使用火絨劍可以觀察到註入explorer中的dll，以及執行下載安裝包的行為動作，如下圖所示：

explorer被註入dll

在通過註入explorer下載360安全衛士極速版安裝包後，會繼續從資源中解密靜默安裝程序（靜默安裝程序為隨機名)用於執行靜默安裝操作。主要代碼如下圖所示：

執行靜默安裝程序

使用Procmon可以觀察到最終執行進程樹如下圖所示：

Procmon進程樹

附錄

樣本hash