花瓣壁纸”恶意捆绑频繁作恶，影响用户量高达百万

    近期，金山毒霸安全中心监控到一款名为”花瓣壁纸”的流氓软件开始大规模强制劫持用户浏览器主页，在微博、百度贴吧等渠道也有大量用户反馈”花瓣壁纸”频繁作恶。

    经安全研究人员溯源分析后发现，“花瓣壁纸”可谓前科累累，和之前传播挖矿病毒的“看看影音”都属于同一流氓家族，其数字签名显示为“合肥臻璞网络科技有限公司”。“花瓣壁纸”主要通过知名软件捆绑、下载器、盗版系统预装等形式进行安装传播，预估累计受害电脑已过百万。

【1】大量用户反馈“花瓣壁纸”流氓软件作恶

    “花瓣壁纸”堪称一个强大的云控木马，利用其常驻服务模块“ptsupport.dll”接受云端指令，关键的恶意功能模块都通过云端下载，内存解密后注入系统进行工作。通过多层的云端下载和内存解密释放浏览器劫持模块，通过篡改配置文件的方式劫持用户浏览器主页、搜索页、新建标签页等。

【2】“花瓣壁纸”通过常驻服务模块执行云端远控指令

【3】“花瓣壁纸”恶意模块劫持用户浏览器主页的攻击链

    经金山毒霸安全中心监控发现，近期变种开始加强对抗，利用windows系统服务的DLL劫持漏洞实现自启动。针对不用版本系统释放的劫持模块也不同，XP系统释放的文件为TPGenLic.dll，XP系统版本以上为wlbsctrl.dll，这两个模块利用的是系统服务的DLL劫持漏洞，同时也是权限提升漏洞，可以随系统服务启动被加载运行。

【4】“花瓣壁纸”利用系统服务DLL劫持漏洞实现自启动

【5】金山毒霸查杀“花瓣壁纸”恶意软件