前言

临近双十一，流氓软件开启一波推广高潮。用户只要安装"2345好压"、"2345看图"、"2345拼音"、"2345浏览器"等2345家族软件，都会被静默推广双十一快捷方式。

事件解构

根据"火绒威胁情报中心"监测和评估，10月20日-24日，全网平均每天遭到此类流氓软件推广骚扰的用户电脑高达1350余万台，日均推广次数为2550余万次，平均每台电脑每天都会受到2次以上的流氓推广。

根据上图可以看出，上述软件流氓推广次数在18、19日为8-10万次，20日急剧上升至1990余万次，约为此前的200倍，且在随后继续上升，最高达2598余万次。

此次推广分为两种方式，一种是桌面静默推广，会给用户创建一个名为"天猫双11十周年狂欢"的快捷方式；另一种是双十一广告弹窗。用户点击后，都会跳转至天猫双十一活动主页面。推广任务执行前，用户不会收到任何相关提示，且无法在软件中关闭推广功能。此外，软件厂商可随时远程修改推广内容和时间。

火绒工程师特别提醒，随着双十一临近，流氓推广的数量也会越来越多。火绒用户可开启【防护中心】-【系统加固】功能对此类流氓软件的静默安装动作进行拦截（默认开启）。另外，双十一前后也是网购诈骗的高发期，想要在狂欢节血拼的网友们，对此也一定要提高警惕，以免遭受财产损失。

相关分析如下：

经过火绒分析发现，2345旗下四款软件安装后均会释放Helper_xxxx.exe程序（如：2345好压会Helper_Haozip.exe）。该程序运行后会加载%AppData%\Roaming\Helper_2345目录下的HelperMain.dll动态库，调用动态库导出函数HelperMain执行静默推广逻辑。广告推广配置相关资源被存放在%AppData%\Roaming\Helper_2345\Resource目录下，根据现有配置，推广动态库可以执行两种推广行为，分别为释放桌面快捷方式和弹出三种不同的广告弹窗。

静默释放推广快捷方式时火绒相关拦截日志，如下图所示：

火绒拦截日志

广告弹窗，如下图所示：

全屏广告弹窗

右下角广告弹窗

广告推广配置，如下图所示：

广告推广配置

*本文作者：火绒安全，转载请注明来自FreeBuf.COM