安全企业enSilo上周披露广告程序DealPly会搜集微软SmartScreen及McAfee的WebAdvisor等服务,来确定用来传播DealPly的网站是否已被列入黑名单,以适时调整感染政策。
DealPly至少在2013年就存在了,感染DealPly的系统会在用户浏览网站时跳出广告,enSilo说,这类的广告程序通常无法吸引安全企业的研究兴趣,但他们发现DealPly除了具备应有的模块、机器指纹、VM侦测技术与强大的C&C架构之外,还搜集合法SmartScreen与WebAdvisor服务的信息,以在必要时变更DealPly的传播政策,尽可能延长每一代DealPly的寿命。
SmartScreen与WebAdvisor皆隶属于安全服务,可在用户访问或下载恶意文件时跳出警告,因此设有黑名单机制。
DealPly通常是随着合法的免费程序传播,当用户安装该合法程序时,在不经意中也安装了DealPly,而DealPly除了会跳出广告之外,还会查询SmartScreen与WebAdvisor的黑名单,并发送到由黑客掌控的C&C服务器。
enSilo猜测,DealPly获取黑名单的用意在于,检查它的变种或下载网站是否已被列入黑名单,以作为以后传播DealPly的参考,可能是根据相关服务在不同市场的热门程度,它在某些国家查询SmartScreen,在某些国家则利用WebAdvisor。
研究人员指出,DealPly的目的是在评估杀毒侦测的能力,以在需要时制造新的恶意样本,以便时时领先安全解决方案,让自己能够长存,相信该手法很快就会被其它恶意程序效法,成为新的趋势。