廣告程式DealPly濫用微軟及McAfee服務來躲避偵測

資安業者enSilo上周揭露廣告程式DealPly會蒐集微軟SmartScreen及McAfee的WebAdvisor等服務，來確定用來散布DealPly的網站是否已被列入黑名單，以適時調整感染政策。

DealPly至少在2013年就存在了，感染DealPly的系統會在使用者瀏覽網站時跳出廣告，enSilo說，這類的廣告程式通常無法吸引資安業者的研究興趣，但他們發現DealPly除了具備應有的模組、機器指紋、VM偵測技術與強大的C&C架構之外，還蒐集合法SmartScreen與WebAdvisor服務的資訊，以在必要時變更DealPly的散布政策，儘可能延長每一代DealPly的壽命。

SmartScreen與WebAdvisor皆隸屬於安全服務，可在使用者造訪或下載惡意檔案時跳出警告，因此設有黑名單機制。

DealPly通常是隨著合法的免費程式散布，當使用者安裝該合法程式時，在不經意中也安裝了DealPly，而DealPly除了會跳出廣告之外，還會查詢SmartScreen與WebAdvisor的黑名單，並傳送到由駭客掌控的C&C伺服器。

enSilo猜測，DealPly索取黑名單的用意在於，檢查它的變種或下載網站是否已被列入黑名單，以作為以後散布DealPly的參考，可能是根據相關服務在不同市場的熱門程度，它在某些國家查詢SmartScreen，在某些國家則利用WebAdvisor。

研究人員指出，DealPly的目的是在評估防毒偵測的能力，以在需要時製造新的惡意樣本，以便時時領先安全解決方案，讓自己能夠長存，相信此一手法很快就會被其它惡意程式效法，成為新的趨勢。