鼠標“美容”風(fēng)險高，換膚后竟被植入10根“異物”

360安全中心近期接到網(wǎng)民求助，稱使用一款名為“鼠標皮膚大師”的軟件后，電腦會自動出現(xiàn)多款陌生軟件，這些軟件安裝時沒有任何提示，屬于強制靜默安裝，并發(fā)生瀏覽器主頁被鎖死、系統(tǒng)卡慢等情況，影響用戶正常使用電腦。

經(jīng)過反病毒工程師調(diào)查確認，國內(nèi)部分下載平臺提供的“鼠標皮膚大師”安裝包存在惡意推廣行為，該安裝包帶有“Beijing Ki*** Se*** software Co.,Ltd”的有效數(shù)字簽名，它在安裝后會通過云端控制下發(fā)惡意推廣程序，簽名屬于“珠海有量網(wǎng)絡(luò)科技有限公司”。由于具有知名廠商的有效數(shù)字簽名，一些殺毒軟件因此將其識別為合法軟件而沒有查殺，其傳播量達到每天40余萬次，并仍在持續(xù)上漲。

分析發(fā)現(xiàn)，“鼠標皮膚大師”的惡意推廣程序與去年7月國內(nèi)多省爆發(fā)的軟件升級劫持使用了相同的云控推廣列表、云控服務(wù)器地址，疑似出自同一黑產(chǎn)團伙。(相關(guān)事件：全國多省爆發(fā)大規(guī)模軟件升級劫持攻擊 http://www.freebuf.com/news/139206.html)

目前，360安全衛(wèi)士已對帶有惡意推廣行為的“鼠標皮膚大師”進行報毒查殺和自動攔截處理，請用戶注意選擇可信渠道下載軟件，并開啟安全軟件實時防護攔截惡意推廣行為。

以下為樣本分析：

“鼠標皮膚大師”是一款為鼠標設(shè)計的美化軟件，暗藏惡意推廣程序的“鼠標皮膚大師”主要通過國內(nèi)部分下載平臺傳播，如下圖：

該安裝包的數(shù)字簽名為“Beijing Ki*** Se*** software Co.,Ltd”，它在安裝后會云控下發(fā)一個名為ssk_p.exe的程序，由此程序進行靜默推廣，這個惡意推廣程序的數(shù)字簽名屬于“珠海有量網(wǎng)絡(luò)科技有限公司”：

惡意程序的云控推廣列表配置文件的內(nèi)容經(jīng)過base64+DES加密，云控文件地址為http://bjft**.cdn.powercdn.com/mb/push/0101/1008/tt0.dat，DES密鑰是“eh9ji8pf”，這與去年7月全國多省爆發(fā)的軟件升級劫持的木馬完全一致，云控地址的域名也是相同的bjft**.cdn.powercdn.com。

經(jīng)過解密后可以發(fā)現(xiàn)，此次“鼠標皮膚大師”強制推廣的共有十款軟件，還包括一個GMCalendar的主頁劫持及惡意推廣木馬。相關(guān)推廣列表如下圖，列表中包括十款推廣軟件名稱、下載鏈接、程序啟動參數(shù)、卸載對應(yīng)的注冊表項(用于判斷軟件是否已安裝)等信息：

根據(jù)360網(wǎng)絡(luò)安全研究院的監(jiān)測數(shù)據(jù)，“鼠標皮膚大師”惡意程序的云控訪問請求呈上升趨勢，這意味著其傳播量正在逐漸放大：

360安全衛(wèi)士已對帶有惡意推廣行為的“鼠標皮膚大師”進行查殺和自動攔截處理，請用戶注意選擇可信渠道下載軟件，并開啟安全軟件實時防護，能夠全面攔截惡意推廣行為。