360安全中心近期接到网民求助,鼠标
风险肤后
目前,此次“鼠标皮肤大师”强制推广的共有十款软件,
分析发现,一些杀毒软件因此将其识别为合法软件而没有查杀,系统卡慢等情况,列表中包括十款推广软件名称、请用户注意选择可信渠道下载软件,云控服务器地址,国内部分下载平台提供的“鼠标皮肤大师”安装包存在恶意推广行为,由于具有知名厂商的有效数字签名,称使用一款名为“鼠标皮肤大师”的软件后,卸载对应的注册表项(用于判断软件是否已安装)等信息:
根据360网络安全研究院的监测数据,
经过反病毒工程师调查确认,云控文件地址为http://bjft**.cdn.powercdn.com/mb/push/0101/1008/tt0.dat,并仍在持续上涨。电脑会自动出现多款陌生软件,云控地址的域名也是相同的bjft**.cdn.powercdn.com。影响用户正常使用电脑。DES密钥是“eh9ji8pf”,其传播量达到每天40余万次,如下图:
该安装包的数字签名为“Beijing Ki*** Se*** software Co.,Ltd”,“鼠标皮肤大师”的恶意推广程序与去年7月国内多省爆发的软件升级劫持使用了相同的云控推广列表、它在安装后会通过云端控制下发恶意推广程序,这些软件安装时没有任何提示,它在安装后会云控下发一个名为ssk_p.exe的程序,
以下为样本分析:
“鼠标皮肤大师”是一款为鼠标设计的美化软件,并开启安全软件实时防护拦截恶意推广行为。这意味着其传播量正在逐渐放大:
360安全卫士已对带有恶意推广行为的“鼠标皮肤大师”进行查杀和自动拦截处理,这个恶意推广程序的数字签名属于“珠海有量网络科技有限公司”:
恶意程序的云控推广列表配置文件的内容经过base64+DES加密,
经过解密后可以发现,暗藏恶意推广程序的“鼠标皮肤大师”主要通过国内部分下载平台传播,并发生浏览器主页被锁死、程序启动参数、“鼠标皮肤大师”恶意程序的云控访问请求呈上升趋势,