“福昕阅读器”惊现系统托盘推伪装“红包”弹窗

近期联想电脑管家安全团队接到用户反馈，系统托盘里惊现“红包”弹窗，而且无法关闭。通过联想电脑管家安全工程师的溯源，发现这是“福昕阅读器”伪装成天猫商城的“红包”弹窗广告，最可恶的是该广告弹窗是隐藏在系统托盘(电脑右下方的小三角）里的，挑战着用户桌面安全与隐私的最后底线。广告可以不看、普通弹窗可以拦截，可系统托盘提示却不能忽略，用户个人或系统相关的内容都会出现在这里。为了提高点击率获得丰厚佣金，在利益驱使下继搜狗输入法618红包弹窗之后，福昕阅读器又双叒叕再步后尘，借双11再次进行打扰个人电脑用户的恶意行为，让我们一起挖出元凶。

1. 首先用户的电脑桌面右下角会不断的闪烁“红包”红包弹窗，如下图，并且没有关闭按钮，如不想点击，该红包弹窗则会一直闪烁，直到用户点击为止；

2.当用户点击了闪烁的图标，则会在桌面弹出天猫广告，点击广告后，会跳转至天猫商城双十一的促销活动推广页面。

联想电脑管家的安全工程师通过定位，追踪到创建这个窗口的进程，发现进程显示的是该弹窗来自于FRML.exe这个文件。

继而抓到FRML.exe这个文件的数字签名显示为Foxit Software Incorporated。众所周知：数字签名机制作为保障网络信息安全的手段之一，可以解决伪造、抵赖、冒充和篡改问题，是在网络环境中代替传统的印章作用。此证书再一次证实来自系统托盘的红包弹窗来自于福昕阅读器。联想电脑管家强烈抵制一切恶意打扰用户桌面的行为！

在Cmd中运行以下命令行参数即可看到同款广告

C:\ProgramData\CPPackages\FRMI.exe -MiniNews -url=http://mini.foxitreader.cn/tag25/tmini.html?ProjectID=FoxitReader -clicktype=browser –Shake

命令行如下

C:\ProgramData\CPPackages\FRMI.exe -Recommend -url=http://daily.foxitreader.cn/one7/one.html -high=420 -wide=280 -clicktype=browser -autoclosetime=60000 –fromservice

难怪抓不出来,原来还有个60s的参数

父进程如图

还起了个相当迷惑性的描述—文档安全防护进程, 看是广告防护进程还差不多

把Frmi.exe拖入ida, 翻看一下字符串, 发现如下命令行参数

然后查找字符串的引用, 找到下面这个函数,  作用是解析命令行参数, 展示广告等等

弹窗毒瘤一不留神就会植根在小白用户的电脑中，联想电脑管家的监测数据后台显示，全网每天约有80000000+弹窗正在通过各种方式打扰着个人电脑用户。

联想电脑管家为广大小白用户提供安全和性能优化的一站式服务，针对上述类型的弹窗打扰用户的行为，联想电脑管家的用户可通过以下2种方式进行拦截；

方案一

通过联想电脑管家开机启动项的权限控制，实现禁用“弹窗服务程序”

1.打开联想电脑管家，在清理加速功能界面点击“开机加速”按钮

2.进入开机加速页面后，如下图点击“服务项”内容查看具体的正在运行服务程序的软件，找到福昕阅读器的服务进程按钮，点击绿色开关即可进行关闭。

3.关闭之后，为进一步确认该红包弹窗的按钮是否被禁用，如下图可点击查看已禁用的名目：

然后我们再次在电脑系统的服务进程里查看被禁用的结果

至此，该红包弹窗即可实现被关闭。

方案二

可通过联想电脑管家的《弹窗拦截》功能 对”红包”弹窗进行拦截 使其无法弹出

1.在联想电脑管家的“工具箱”里打开“弹窗拦截”，即可实现立刻拦截，不会在桌面打扰用户。被拦截后显示如下，点击绿色的的按钮“立即拦截”，以后再也不会看到与此有关的任何广告。

如想查看被拦截的广告，可通过联想电脑管家的消息中心查看，点击被拦截的弹窗即可查看如下图所示已经被拦截的内容；

关于如何“自动”和“手动”拦截弹窗点这里查阅以往的教程---“教你3步轻松拦截弹窗”（微博搜索“联想电脑管家”）

联想电脑管家的权限管理和弹窗拦截功能，将强力阻止一切打扰用户的行为！

联想电脑管家应用权限管理功能，支持用户对开机启动项的管理，软件弹窗的拦截、软件捆绑安装的阻止、以及桌面生成软件图标的权限管理。自主设置软件权限，实时了解软件各种行为，可从根源上解决PC端乱弹窗现象与乱捆绑现象与各种伪装广告弹窗，精准拦截各种恼人的弹窗广告。

欢迎加入联想电脑管家用户群反馈您遇到的各类问题，群号：958143699

联想电脑管家官网地址：https://guanjia.lenovo.com.cn/