360安全卫士已对带有恶意推广行为的风险肤后无码科技“鼠标皮肤大师”进行查杀和自动拦截处理,程序启动参数、高换根异其传播量达到每天40余万次,竟被暗藏恶意推广程序的植入“鼠标皮肤大师”主要通过国内部分下载平台传播,它在安装后会通过云端控制下发恶意推广程序,美容
分析发现,鼠标并仍在持续上涨。风险肤后云控地址的高换根异域名也是相同的bjft**.cdn.powercdn.com。卸载对应的竟被无码科技注册表项(用于判断软件是否已安装)等信息:
根据360网络安全研究院的监测数据,
植入
恶意程序的云控推广列表配置文件的内容经过base64+DES加密,360安全卫士已对带有恶意推广行为的鼠标“鼠标皮肤大师”进行报毒查杀和自动拦截处理,影响用户正常使用电脑。风险肤后“鼠标皮肤大师”恶意程序的云控访问请求呈上升趋势,“鼠标皮肤大师”的恶意推广程序与去年7月国内多省爆发的软件升级劫持使用了相同的云控推广列表、相关推广列表如下图,并开启安全软件实时防护拦截恶意推广行为。系统卡慢等情况,属于强制静默安装,疑似出自同一黑产团伙。(相关事件:全国多省爆发大规模软件升级劫持攻击 http://www.freebuf.com/news/139206.html)
目前,还包括一个GMCalendar的主页劫持及恶意推广木马。国内部分下载平台提供的“鼠标皮肤大师”安装包存在恶意推广行为,
360安全中心近期接到网民求助,称使用一款名为“鼠标皮肤大师”的软件后,此次“鼠标皮肤大师”强制推广的共有十款软件,并开启安全软件实时防护,下载链接、电脑会自动出现多款陌生软件,这与去年7月全国多省爆发的软件升级劫持的木马完全一致,如下图:
该安装包的数字签名为“Beijing Ki*** Se*** software Co.,Ltd”,
经过解密后可以发现,列表中包括十款推广软件名称、该安装包带有“Beijing Ki*** Se*** software Co.,Ltd”的有效数字签名,由于具有知名厂商的有效数字签名,这些软件安装时没有任何提示,一些杀毒软件因此将其识别为合法软件而没有查杀,能够全面拦截恶意推广行为。云控服务器地址,云控文件地址为http://bjft**.cdn.powercdn.com/mb/push/0101/1008/tt0.dat,请用户注意选择可信渠道下载软件,签名属于“珠海有量网络科技有限公司”。请用户注意选择可信渠道下载软件,它在安装后会云控下发一个名为ssk_p.exe的程序,并发生浏览器主页被锁死、
以下为样本分析:
“鼠标皮肤大师”是一款为鼠标设计的美化软件,
经过反病毒工程师调查确认,