360安全卫士极速版“诱导式”推广，静默安装，对抗安全软件

近期有较多网友反馈电脑被无故安装360安全卫士极速版。经火绒工程师溯源发现，目前360安全卫士极速版正通过购买搜索引擎排名、弹窗提示等“诱导式”手段推广并静默安装。根据火绒威胁情报系统监测显示，从年初至今，已有超千万用户受到360系软件上述推广行为的影响，且于近期呈大幅上升趋势。

值得关注的是，360安全卫士极速版的整套推广流程，存在较为明显的对抗痕迹，即对火绒安全等多款安全软件进行检测规避，甚至利用系统程序隐匿推广行为（注入explorer进程）。

360安全卫士极速版“诱导式”推广呈现以下形式：

购买搜索引擎排名，即利用其他搜索引擎和360搜索引擎的软件推广链接，诱导用户点击下载推广包，随后静默安装360安全卫士极速版；

弹窗提示，即用户已安装的360系软件弹出“清除垃圾文件”、“运行速度优化”等提示，用户在未关注到小字安装说明的情况下，点击清理，就会被静默安装360安全卫士极速版；

除此之外，360系软件也会通过网络请求360下载安装模块，涉及相关行为的软件进程包括：360huabao.exe（360画报，360安全浏览器会附带安装）、360pic.exe（360安全浏览器服务组件）、360影视大全、360桌面助手等。

火绒安全产品“软件安装拦截”功能可及时提示并帮助用户阻止此类推广行为。

详细分析报告如下：

一、详细分析

近期，火绒收到用户反馈，电脑中频繁被安装360安全卫士极速版。通过火绒威胁情报系统后台监测，我们发现360安全卫士极速版正在通过多个推广渠道进行诱导推广或静默推广。主要渠道分别为：通过搜索引擎使用高速下载器推广、通过360系列软件弹窗诱导推广。除此之外，火绒发现360系列软件组件(360huabao.exe、360pic.exe等)也会通过网络请求360下载安装模块（360ini.dll）。360相关推广行为流程图：

推广流程图

利用搜索引擎进行推广的方式经过调研发现目前包括两大搜索引擎，分别为360搜索以及Bing国内版。以下载安装迅雷为例，通过360搜索后得到的结果如下图所示，当用户点击红框的安全下载时，实际下载的是360高速下载器程序：

360搜索结果

使用Bing国内版搜索引擎搜索时，排行第一的为360软件管家的推广广告，点进网站中会提示使用安全下载，实际下载下来的也是360高速下载器程序，搜索内容如下图所示：

Bing国内版搜索结果

360推广网站内容

当用户运行360高速下载器时效果如下图所示：

运行360高速下载器

经过后台数据统计，利用搜索引擎推广的趋势图如下：

利用搜索引擎进行推广趋势图

360系软件弹窗诱导推广的方式，经过本地复现发现 360压缩存在利用推广弹窗诱导用户安装360安全卫士极速版的情况，弹窗情况如下图所示，由360zip.exe进程发起，用户点击“垃圾清理”按钮后将在后台静默下载安装360安全卫士极速版：

诱导推广弹窗

通过进一步的分析发现其他多款360系列软件也存在上述推广弹窗诱导用户安装360安全卫士极速版的行为。以下为部分360系列软件诱导推广弹窗截图，可以发现这类广告均以“清理垃圾文件”等话术诱导用户点击安装：

360系列软件诱导推广弹窗

经过后台数据统计，360系软件弹窗诱导推广的趋势图如下：

360系软件弹窗诱导推广趋势图

除此之外，经过后台监测，发现360系列软件也会通过网络请求360下载安装模块，涉及相关行为的软件进程包括：360huabao.exe（360画报，360安全浏览器会附带安装）、360pic.exe（360安全浏览器服务组件）、360影视大全、360桌面助手等。360系列软件请求360下载安装模块所影响的终端数量，如下图所示：

360系软件请求推广模块趋势图

推广涉及的主要文件信息如下图所示：

高速下载器文件信息

KitTip诱导推广弹窗文件信息

urlproc查询模块文件信息

Devxxx下载器文件信息

360ini下载安装模块文件信息

静默安装程序文件信息

360高速下载器模块

经过分析发现当用户电脑中安装有火绒时，该高速下载器会直接调用浏览器去下载对应的软件安装包，不会执行后续静默安装操作；如果电脑中未安装火绒时，该高速下载器则会先静默下载安装360安全卫士极速版，然后通过360软件管家下载软件安装包。主要逻辑代码如下图所示，具体检查火绒以及静默安装360安全卫士极速版的代码见” 360ini.dll下载安装模块”：

360高速下载器判断逻辑

KitTip.dll诱导推广弹窗模块

360系列软件会加载KitTip.dll模块并调用RunTip函数来执行诱导推广弹窗，该函数的首个参数为cid，传入的cid不同就能够弹出相对应的广告内容。以360压缩为例，360zip.exe进程调用RunTip函数时传入的cid为9510026，相关代码如下图所示：

获取RunTip函数地址

调用RunTip函数

首先会检查当前主机的安全防护软件安装情况，部分行为及检查上报代码如下图所示：

检查安全防护软件行为

检查防护软件安装情况并上报

检测到火绒时上报的数据

目前会检查的防护软件列表如下图：

防护软件列表

在对安全防护软件检查后，继续检查当前主机已经安装的浏览器，并对安装情况进行上报，相关行为及代码如下图所示：

检查浏览器

检查并上报安装情况

目前会检查的浏览器列表如下图：

浏览器列表

在对安装软件进行检查上报后，会通过注册表值判断当前主机是否已安装360安全卫士以及获取最后一次推广弹窗时间，若当天已经推广弹窗则不执行后续逻辑。获取推广弹窗时间的相关代码如下图所示：

检查最后一次推广弹窗时间

上述检查均通过后，会联网下载推广清单配置文件，并解析匹配传入的cid对应的配置项，相关代码如下图所示：

下载并解析KitTipConf.ini配置文件

函数内部会根据传入的cid解析获取[param_conf]中对应cid的配置，相关代码及对应的配置文件内容如下图所示：

解析配置文件param_conf内容

配置文件param_conf内容

在下载推广弹窗cab包前，会尝试加载urlproc.dll查询云端策略，用于判断是否进行弹窗，当返回策略值为pop:1或者策略获取失败时则继续执行后续逻辑，当策略为pop:0时则不推广弹窗，相关代码如下图所示：

获取云端策略

通过动态调试获取到当前的云端策略，显示pop:0表示现阶段策略为不推广弹窗，该条云端策略也与360系软件弹窗诱导推广趋势图中10月16号后的数据相对应，策略内容如下图所示：

当前云端策略

策略为不弹窗时程序退出

若策略满足弹窗条件，则会根据解析param_conf内容获取的配置内容下载相应的推广弹窗cab包，相关代码如下图所示：

下载推广弹窗图片cab包

下载推广弹窗logo cab包

下载的推广弹窗图cab包内容如下图所示：

推广弹窗图片cab包内容

推广弹窗logo cab包内容

最终根据上述下载的推广弹窗文件创建弹窗广告，并根据用户不同操作执行相应代码逻辑，相关代码如下图所示：

弹窗广告逻辑

安装函数内部最终是通过下载并加载360ini.dll该动态库静默下载安装360安全卫士极速版。相关代码如下图所示：

安装函数主要逻辑

从上述代码可看出安装方式有两种，一种是下载Devxxx.exe(xxx表示随机名)程序去加载360ini.dll模块执行下载安装；第二种是当前KitTip.dll直接加载360ini.dll模块执行下载安装。相关代码分别如下图：

通过Devxxx.exe下载

KitTip.dll直接加载360ini.dll

除上述推广安装360安全卫士极速版外，发现该安装函数内部存在其他360系列软件安装包下载及静默安装逻辑，但目前安装条件未被触发，因此没有被执行，相关软件下载逻辑代码如下图所示：

360桌面助手安装包下载及静默安装代码

360换机助手安装包下载及静默安装代码

360安全浏览器安装包下载及静默安装代码

360安全浏览器安装包下载及静默安装代码

360影视大全安装包下载及静默安装代码

360ini.dll下载安装模块

360ini.dll该动态库存在多个导出函数，如下图所示：

360ini.dll导出函数

本次推广安装主要涉及IsSafeExist和Start_UI两个导出函数。当推广是通过Devxxx.exe安装程序执行时，会先调用IsSafeExist函数判断主机是否已安装火绒安全，如果已安装火绒安全则退出程序，未安装火绒时则执行StartSafe_UI间接调用Start_UI函数执行下载安装，IsSafeExist检查火绒代码如下图所示：

通过注册表检查火绒

由于字符串被加密，经过动态调试解密后，如下图所示：

动态调试解密火绒相关字符串

在执行的Start_UI函数中，主要逻辑代码如下图所示：

Start_UI函数主要代码逻辑

函数内部会通过注入explorer.exe进程，在注入的dll中下载360安全卫士极速版安装包。主要逻辑代码如下图所示：

注入explorer

使用火绒剑可以观察到注入explorer中的dll，以及执行下载安装包的行为动作，如下图所示：

explorer被注入dll

在通过注入explorer下载360安全卫士极速版安装包后，会继续从资源中解密静默安装程序（静默安装程序为随机名)用于执行静默安装操作。主要代码如下图所示：

执行静默安装程序

使用Procmon可以观察到最终执行进程树如下图所示：

Procmon进程树

二、附录

样本hash：