金山等软件被常用工具弹窗推广，流氓行为传播数十万终端

火绒安全发布报告称，近日收到多位用户反馈称在安装某些工具类软件时遭遇广告弹窗及其他流氓行为。

对捕获的样本进行分析发现，该样本主要通过捆绑在Zip解压缩、PDF转换器及录屏软件等常用工具的安装包中进行传播，会执行包括静默推广安装金山毒霸、WPS、CAD看图王等软件在内的一系列流氓行为，并最终伪装成插件进行集成和大规模传播。流氓行为已传播数十万终端。

根据火绒威胁情报系统监测，该样本已感染超过数万台电脑，传播范围波及数十类网站，包括 Zip 解压缩、录屏、PDF转换器、壁纸、DLL 修复、全能格式转换、OCR 扫描等多种类型。

样本流程图如下：

该样本采用 C# 开发，初始版本为一个简单的下载器（Loader），主要功能是从阿里云存储桶中获取安装包，并通过命令行实现静默安装压缩包的功能。

样本的主要逻辑为：通过代码伪造安装界面，包括构造所需数据、下载配置文件、获取云端配置信息，并完成UI 设置；随后，通过用户点击按钮的操作触发静默安装。

对网站 https://zip.njzhqlkj.cn 进行溯源分析发现，其 JS 脚本被多个域名引用。进一步分析表明，这些域名中有相当一部分在下载的程序中都捆绑了该恶意服务，其中还有大部分已经失效的域名。涉及的域名包括：

部分失效域名如下：

更多详情可查看官方公告。