近期聯(lián)想電腦管家安全團隊接到用戶反饋，系統(tǒng)托盤里驚現(xiàn)“紅包”彈窗，而且無法關(guān)閉。通過聯(lián)想電腦管家安全工程師的溯源，發(fā)現(xiàn)這是“福昕閱讀器”偽裝成天貓商城的“紅包”彈窗廣告，最可惡的是該廣告彈窗是隱藏在系統(tǒng)托盤(電腦右下方的小三角）里的，挑戰(zhàn)著用戶桌面安全與隱私的最后底線。廣告可以不看、普通彈窗可以攔截，可系統(tǒng)托盤提示卻不能忽略，用戶個人或系統(tǒng)相關(guān)的內(nèi)容都會出現(xiàn)在這里。為了提高點擊率獲得豐厚傭金，在利益驅(qū)使下繼搜狗輸入法618紅包彈窗之后，福昕閱讀器又雙叒叕再步后塵，借雙11再次進行打擾個人電腦用戶的惡意行為，讓我們一起挖出元兇。

1. 首先用戶的電腦桌面右下角會不斷的閃爍“紅包”紅包彈窗，如下圖，并且沒有關(guān)閉按鈕，如不想點擊，該紅包彈窗則會一直閃爍，直到用戶點擊為止；

2.當(dāng)用戶點擊了閃爍的圖標(biāo)，則會在桌面彈出天貓廣告，點擊廣告后，會跳轉(zhuǎn)至天貓商城雙十一的促銷活動推廣頁面。

聯(lián)想電腦管家的安全工程師通過定位，追蹤到創(chuàng)建這個窗口的進程，發(fā)現(xiàn)進程顯示的是該彈窗來自于FRML.exe這個文件。

繼而抓到FRML.exe這個文件的數(shù)字簽名顯示為Foxit Software Incorporated。眾所周知：數(shù)字簽名機制作為保障網(wǎng)絡(luò)信息安全的手段之一，可以解決偽造、抵賴、冒充和篡改問題，是在網(wǎng)絡(luò)環(huán)境中代替?zhèn)鹘y(tǒng)的印章作用。此證書再一次證實來自系統(tǒng)托盤的紅包彈窗來自于福昕閱讀器。聯(lián)想電腦管家強烈抵制一切惡意打擾用戶桌面的行為！

在Cmd中運行以下命令行參數(shù)即可看到同款廣告

C:\ProgramData\CPPackages\FRMI.exe -MiniNews -url=http://mini.foxitreader.cn/tag25/tmini.html?ProjectID=FoxitReader -clicktype=browser –Shake

命令行如下

C:\ProgramData\CPPackages\FRMI.exe -Recommend -url=http://daily.foxitreader.cn/one7/one.html -high=420 -wide=280 -clicktype=browser -autoclosetime=60000 –fromservice

難怪抓不出來,原來還有個60s的參數(shù)

父進程如圖

還起了個相當(dāng)迷惑性的描述—文檔安全防護進程, 看是廣告防護進程還差不多

把Frmi.exe拖入ida, 翻看一下字符串, 發(fā)現(xiàn)如下命令行參數(shù)

然后查找字符串的引用, 找到下面這個函數(shù), ?作用是解析命令行參數(shù), 展示廣告等等

彈窗毒瘤一不留神就會植根在小白用戶的電腦中，聯(lián)想電腦管家的監(jiān)測數(shù)據(jù)后臺顯示，全網(wǎng)每天約有80000000+彈窗正在通過各種方式打擾著個人電腦用戶。

聯(lián)想電腦管家為廣大小白用戶提供安全和性能優(yōu)化的一站式服務(wù)，針對上述類型的彈窗打擾用戶的行為，聯(lián)想電腦管家的用戶可通過以下2種方式進行攔截；

方案一

通過聯(lián)想電腦管家開機啟動項的權(quán)限控制，實現(xiàn)禁用“彈窗服務(wù)程序”

1.打開聯(lián)想電腦管家，在清理加速功能界面點擊“開機加速”按鈕

2.進入開機加速頁面后，如下圖點擊“服務(wù)項”內(nèi)容查看具體的正在運行服務(wù)程序的軟件，找到福昕閱讀器的服務(wù)進程按鈕，點擊綠色開關(guān)即可進行關(guān)閉。

3.關(guān)閉之后，為進一步確認該紅包彈窗的按鈕是否被禁用，如下圖可點擊查看已禁用的名目：

然后我們再次在電腦系統(tǒng)的服務(wù)進程里查看被禁用的結(jié)果

至此，該紅包彈窗即可實現(xiàn)被關(guān)閉。

方案二

可通過聯(lián)想電腦管家的《彈窗攔截》功能 對”紅包”彈窗進行攔截 使其無法彈出

1.在聯(lián)想電腦管家的“工具箱”里打開“彈窗攔截”，即可實現(xiàn)立刻攔截，不會在桌面打擾用戶。被攔截后顯示如下，點擊綠色的的按鈕“立即攔截”，以后再也不會看到與此有關(guān)的任何廣告。

如想查看被攔截的廣告，可通過聯(lián)想電腦管家的消息中心查看，點擊被攔截的彈窗即可查看如下圖所示已經(jīng)被攔截的內(nèi)容；

關(guān)于如何“自動”和“手動”攔截彈窗點這里查閱以往的教程---“教你3步輕松攔截彈窗”（微博搜索“聯(lián)想電腦管家”）

聯(lián)想電腦管家的權(quán)限管理和彈窗攔截功能，將強力阻止一切打擾用戶的行為！

聯(lián)想電腦管家應(yīng)用權(quán)限管理功能，支持用戶對開機啟動項的管理，軟件彈窗的攔截、軟件捆綁安裝的阻止、以及桌面生成軟件圖標(biāo)的權(quán)限管理。自主設(shè)置軟件權(quán)限，實時了解軟件各種行為，可從根源上解決PC端亂彈窗現(xiàn)象與亂捆綁現(xiàn)象與各種偽裝廣告彈窗，精準(zhǔn)攔截各種惱人的彈窗廣告。

?

歡迎加入聯(lián)想電腦管家用戶群反饋您遇到的各類問題，群號：958143699

聯(lián)想電腦管家官網(wǎng)地址：https://guanjia.lenovo.com.cn/