金山等软件被常用工具弹窗推广，流氓行为传播数十万终端

System-Administartor

2025-12-06 13:26:56

0次

流氓软件如同数字世界的寄生虫，长期侵扰用户电脑、破坏使用体验。它们往往通过看似无害的软件捆绑潜入系统，肆意弹窗广告、强制安装推广软件、窃取隐私甚至消耗系统资源，已成为网络安全环境的一大顽疾。

近日，火绒安全团队收到多位用户反馈，称在安装某些工具类软件时遭遇广告弹窗及其他流氓行为，严重影响使用体验。鉴于此前已有类似反馈，火绒工程师高度重视，对捕获的样本进行了重点分析。分析发现，该样本主要通过捆绑在 Zip 解压缩、PDF 转换器及录屏软件等常用工具的安装包中进行传播。一旦运行，它会从云端拉取文件并创建服务以实现持久化驻留。随后，该样本会持续获取云端配置，执行包括静默推广安装金山毒霸、WPS、CAD看图王等软件在内的一系列流氓行为，并最终伪装成插件进行集成和大规模传播。

根据火绒威胁情报系统监测，该样本已感染超过数万台电脑，传播范围波及数十类工具下载网站，包括 Zip 解压缩、录屏、PDF转换器、壁纸、DLL 修复、全能格式转换、OCR 扫描等多种类型。目前，火绒安全产品可有效拦截并查杀上述流氓软件。

查杀图

软件安装拦截

一、样本分析

样本流程图如下：

流程图

该样本采用 C# 开发，初始版本为一个简单的下载器（Loader），主要功能是从阿里云存储桶中获取安装包，并通过命令行实现静默安装压缩包的功能。

网页

样本的主要逻辑为：通过代码伪造安装界面，包括构造所需数据、下载配置文件、获取云端配置信息，并完成UI 设置；随后，通过用户点击按钮的操作触发静默安装。

主界面

首先，样本会初始化数据，包括获取环境变量、安装目录路径及系统版本信息等；随后下载应用配置文件 json，解析其中的数据以获取 Zip 压缩包的 URL，并据此下载安装。

初始化数据

获取下载链接

接着，样本通过代码进行 UI 绘制，伪造出 Zip 解压缩的安装流程界面，呈现一个简易的安装界面供用户交互。

配置UI

UI图

当用户点击后，样本会在后台根据配置文件下载阿里云存储桶中的安装包，并通过命令行的方式执行静默安装。

下载配置

下载安装包

静默安装

最终，样本通过调用 RunApplication 运行安装后的程序。

执行程序

之后创建安装服务：先将 Base64 编码的服务文件解码并释放到本地，再通过 CMD 命令行创建并执行该服务。

base64释放文件

创建服务

随后，程序通过启动 PCUpdateHelper.exe 来加载并运行服务核心程序。该服务启动后，其 OnStart 函数会被自动调用执行。

服务Start函数

在 Start 函数中，服务会创建一个线程。该线程持续进行两项监测：

1.核心可执行文件是否存在于本地；

2.该文件对应的进程是否已创建，一旦文件存在而进程未运行，线程便会启动该核心可执行文件的安装过程。

服务线程

该服务检测广告推广程序进程是否正在运行。若进程不存在，则检查对应的程序文件是否存在于本地：

1.若文件存在，则执行该文件；

2.若文件不存在，则从云端下载核心文件 PCUpdateCore.exe 并运行。

核心进程

云端下载

PCUpdateCore.exe 的核心功能是执行广告弹窗推广。程序启动后，首先会检查上次启动时间及当前是否已在运行。随后，从云端获取最新的推广规则，据此执行广告推广任务。此外，程序还会获取云端的插件模块，利用这些插件进行更深入的推广活动。

时间启动判断

之后从云端下载配置文件。

云端下载配置文件

下载的配置文件解析如下：

1.基础开关和目录监控

OpenWithEnabled = false：此配置项为 false 时，禁用与“右键打开方式”相关的功能。
WatchDirs：该字段指定需要监控的文件夹路径列表。监控范围涵盖常用个人和公共目录，例如下载、桌面、文档、音乐、图片、视频等。当监控程序在这些目录中检测到新文件时，会触发推荐或广告推广行为。

2.检查与间隔配置

各功能时间间隔如下：

弹窗展示：每隔 1.5 小时触发一次。
更新检查：每 8 小时执行一次。
通知（广告/推送）检查：每 10 分钟轮询一次。
右键菜单内容更新：每 4 小时进行一次。

3.RunInfoConfigs（运行策略）

SourcePlatform：标识软件来源平台(例如：Tencent, Huawei, Lenovo)。
DelayRunSeconds：设置延迟运行时间（秒）。例如，值 86400 表示程序将在 24 小时后执行。

4.DownloadInfoConfigs（推广软件下载地址）

例子：

（1）TargetPackage = Kinst → 下载 Kinst 金山毒霸软件安装包

（2）LenovoIntermodal 平台 → 下载安装 WinCleaner_V8.7.3.0_LenovoIntermodal.exe

（3）0TargetPackage = wps → 下载 WPS 办公软件安装包，并执行静默安装 (使用参数 /S -agreelicense 自动同意协议)。

（4）TargetPackage = iqiyi → 下载爱奇艺客户端安装包。

（5）TargetPackage = rrsp → 下载名为 RRClient 的软件安装包。

（6）TargetPackage = windows.netpower.cleaner / pdfConvert / pictureviewer / unzip → 下载指定工具软件安装包 (例如：WinCleaner、PDF 转换器、图片查看器、压缩工具)，并执行静默安装 (使用参数 /quiet)。

5.NotifyWeightConfigs（通知权重）

权重是推广任务的比例，如 "clean"（WinCleaner）占 85%，其他软件各占 5%。
由于 NotifyWeightConfigsEnabled 设置为 false，当前该权重配置方案未启用，实际分发不遵循此比例。

检测目录新增文件如下：

文件检测

其弹窗功能如下：

弹窗功能

静默安装功能如下：

静默安装

该程序还会从云端下载并安装插件。分析发现，程序存在严重安全隐患：它将阿里云 OSS 和腾讯云 OSS 的 accessKeyId 与 accessKeySecret 明文硬编码在自身代码中。一旦攻击者获取这两个密钥，即可直接登录并访问对应的云存储桶，可能引发进一步的网站攻击。

对下载的云端插件（.NET DLL）深入分析发现，其主要功能是投放广告弹窗，涉及的推广目标包括：WPS、金山毒霸、右键菜单插件、CAD看图引流插件、打印机引流插件、具备卸载360画报（netpower_huabao）作用的插件等。

key泄露

安装插件

解压插件

WPS广告插件：WPS文档格式监听，弹窗推荐。

wps插件

金山毒霸广告配置插件。

金山毒霸插件

卸载360huabao插件(netpower_huabao)。

卸载360huabao插件

二、溯源分析

对网站 https://zip.njzhqlkj.cn 进行溯源分析发现，其 JS 脚本被多个域名引用。进一步分析表明，这些域名中有相当一部分在下载的程序中都捆绑了该恶意服务，其中还有大部分已经失效的域名。涉及的域名包括：

部分失效域名如下：

跳转链接

免责声明

本站为个人博客，博客所发布的一切破解软件、补丁、注册机和注册信息及软件的文章仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。

本站所有内容均来自网络，版权争议与本站无关，您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容，如有需要，请去软件官网下载正版。

访问和下载本站内容，说明您已同意上述条款。

本站为非盈利性站点，不贩卖软件，不会收取任何费用，所有内容不作为商业行为。

正在初始化播放器，请稍后

.social-panel-container { position: fixed; right: 0; bottom: 80px; transform: translateX(100%); transition: transform .4s ease-in-out } .social-panel-container.visible { transform: translateX(-10px) } .social-panel { background-color: #fff; border-radius: 16px; box-shadow: 0 16px 31px -17px rgba(0, 31, 97, 0.6); border: 5px solid #001f61; display: flex; flex-direction: column; justify-content: center; align-items: center; font-family: 'Muli'; position: relative; height: 169px; width: 370px; max-width: calc(100% - 10px) } .social-panel button.close-btn { border: 0; color: #97a5ce; cursor: pointer; font-size: 20px; position: absolute; top: 5px; right: 5px } .social-panel button.close-btn:focus { outline: 0 } .social-panel p { background-color: #001f61; border-radius: 0 0 10px 10px; color: #fff; font-size: 14px; line-height: 18px; padding: 2px 17px 6px; position: absolute; top: 0; left: 50%; margin: 0; transform: translateX(-50%); text-align: center; width: 235px } .social-panel p a { color: #ff7500; text-decoration: none } .social-panel h4 { margin: 20px 0; color: #97a5ce; font-family: 'Muli'; font-size: 14px; line-height: 18px; text-transform: uppercase } .social-panel ul { display: flex; list-style-type: none; padding: 0; margin: 0 } .social-panel ul li { margin: 0 10px } .social-panel ul li a { border: 1px solid #dce1f2; border-radius: 50%; color: #001f61; font-size: 20px; display: flex; justify-content: center; align-items: center; height: 50px; width: 50px; text-decoration: none } .social-panel ul li a:hover { border-color: #ff6a00; box-shadow: 0 9px 12px -9px #ff6a00 } .floating-btn { border-radius: 26.5px; background-color: #001f61; border: 1px solid #001f61; box-shadow: 0 16px 22px -17px #03153b; color: #fff; cursor: pointer; font-size: 16px; line-height: 20px; padding: 12px 20px; position: fixed; bottom: 20px; right: 20px; z-index: 999 } .floating-btn:hover { background-color: #fff; color: #001f61 } .floating-btn:focus { outline: 0 } .floating-text { background-color: #001f61; border-radius: 10px 10px 0 0; color: #fff; font-family: 'Muli'; padding: 7px 15px; position: fixed; bottom: 0; left: 50%; transform: translateX(-50%); text-align: center; z-index: 998 } .floating-text a { color: #ff7500; text-decoration: none } /* 确保代码块正确换行 */ .code-block-wrapper pre code { white-space: pre-wrap !important; word-break: break-all !important; word-wrap: break-word !important; } /* Markdown内容样式增强 */ .markdown-content pre { background: #f6f8fa !important; border-radius: 8px !important; padding: 16px !important; overflow-x: auto !important; margin: 1em 0 !important; } .markdown-content code:not(pre code) { background: #f1f3f4 !important; padding: 2px 6px !important; border-radius: 4px !important; font-size: 0.9em !important; }

人生倒计时

今天已过去 20 小时

84%

本周已过去 2 天

28%

本月已过去 26 天

86%

今年已过去 8 个月零 26 天

66%

离春节还有137天4时

62%

金山等软件被常用工具弹窗推广，流氓行为传播数十万终端

相关内容

热门资讯

免责声明

正在初始化播放器，请稍后

人生倒计时