最近，360安全中心检测到，大量推广程序在推广一款带有有效风行签名——“Beijing Funshion Online Technologies Ltd.”的静默安装程序。

后续分析发现，该程序静默安装，无法卸载，通过LSP注入系统各个联网进程执行。带有反虚拟机、反调试、抗分析、远程控制、远程执行的能力，是一款植入用户计算机的后门程序。

0×1 FunMini文件分析

基本信息：

MD5 : 64a34cc9a22fa93d0705920e4c3aed0c

文件名称 : FunMini.exe

文件类型 : PE，未加壳

签名信息 : Beijing Funshion Online Technologies Ltd.

签名正常 风行公司的推广程序

该样本运行之后，会对目标机器的环境进行检测：检测虚拟机，各种程序开发工具等。

如果不存在开发工具和虚拟机，就会下载一个后门dll程序加载执行，该dll还会进行手机app推广。

行为详解：

木马检查用户机器上是否存在IDA, vc6.0, windbg.exe等分析人员常用的分析工具。这类检测在木马程序中很常见，正常面向大众的软件，很少做这类检测。

总结

360安全中心最早接到关于带有风行签名程序从PC端向安卓机强推安卓应用的问题，最早见于去年（2014年）12月中旬，当时就曾组织过技术力量对该族系推广进行过拦截。但在沉寂了9个多月之后，今年9月中旬，该族系又变换了更加犀利的反安全软件代码卷土重来。

目前360已对其推广做了拦截，并提醒用户及时清理，该后门安装量已经过数百万台，并且依然在不断的变种与我们进行对抗。

由衷希望厂商管理好自己产品，不要在这条路上越走越远才好。