拦截 Office Plus（公测版）静默推广安装

八卦谈佚名 ▪ 2023-09-22 14:54:09

前几天调出控制面板，检查软件安装列表的时候发现多了一个名为“Office Plus（公测版）”的软件，而桌面、任务栏和开始菜单完全没有这个软件图标的身影，列表中的图标外观类似迅雷？非常肯定的是自己从来没有手动安装或者授权安装过同名软件，下意识地想到电脑可能被木马病毒或恶意软件入侵了，只能先全盘查杀找到恶意样本后，再具体问题具体分析，但最终无果。手动卸载软件后，没想到过几天又给我安装回来了，期间没有任何安装提示或UAC授权安装的弹窗，防护软件也没有任何拦截提醒。

有点意思，于是简单地看了一下安装路径，C:\Program Files\Microsoft OfficePLUS\2.5.1.37533\，emmm..…… 看到这个目录名称后我先按下不表，其中包含若干个文件夹和Uninst.exe的卸载程序，别的不说先看一下程序的数字签名证书，签名者姓名/颁发给 Microsoft Corporation，这就不奇怪了，能做到静默安装不被拦截非常的合情合理……

全盘查找了半天没能找到安装包本体，猜测是在安装完成后自动销毁了吧，既然能做到主动安装自然是有一个启动服务挂在后台监控用户的安装环境，首要任务是揪出这个“内鬼”后台进程。仅目前掌握到的软件安装目录信息，足够引蛇出洞，思路是拦截到创建软件安装目录就算成功。鉴于火绒自带的软件安装拦截功能只能拦截在库的恶意软件，且无法自行添加需要拦截的软件，所以采用火绒自定义规则拦截并收集必要的日志信息，高级防护 -> 自定义防护 -> 添加防护，随便起个规则名，发起程序 * 表示任意程序，添加保护对象，选文件规则将 C:\Program Files\Microsoft OfficePLUS\* 列为保护对象，保护动作全部选上（创建，读取，修改，删除，其实只要勾上创建即可达到目的），有程序触犯上述规则时询问以便提醒用户。其他防护软件有类似功能也是可以的，手动卸载软件后静等上钩。

仅过了2天就咬钩了，发起程序 MSOfficePLUS.exe，应该是安装包本体没错，操作目标是创建 C:\Program Files\Microsoft OfficePLUS\2.5.1.37533 目录。顺藤摸瓜地找到发起操作进程和父进程，以下信息截取自火绒日志导出记录：

可以非常清楚地看到安装包本体和发起程序所在路径，基本暴露了后台服务进程，微软Office办公套件在线升级服务，微软自己对这个服务的描述如下：

由此可以推断出软件安装的过程：微软发动远控魔法，Office在线升级后台服务进程收到新任务后，调起 "C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeClickToRun.exe" /service，随后从网络下载或调起已下载好的本地安装包，释放到指定路径 C:\Program Files\Common Files\microsoft shared\ClickToRun\OnlineInteraction\46da4f2f-e90b-4b4d-804d-aff94a326663_65aa\MSOfficePLUS.exe 后，其中 46da4f2f-e90b-4b4d-804d-aff94a326663_65aa 这一串序号非固定，视软件包的文件版本而定，执行 MSOfficePLUS.exe /S /NRC /NPPTC 后台静默安装，安装结束后自动清理安装包文件，即使安装失败也会自动清理掉不留痕迹。所以上述情况仅会在安装了微软Office办公套件的用户电脑上发生，没有Office办公全家桶的用户理论上就没有这类困扰？

可能的解决方案，一是彻底禁用掉 Office 在线升级服务，但同样也会屏蔽 Office 软件的安全更新。二是干扰软件安装流程，手动卸载软件后，自定义拦截 C:\Program Files\Common Files\microsoft shared\ClickToRun\OnlineInteraction\* 和 C:\Program Files\Microsoft OfficePLUS\ 目录内容的创建、读取、修改、删除，阻止软件包本体的释放与安装。其他更优的解决方案请自行摸索。

针对这次静默推广安装，网上虽然没什么讨论热度，但也能搜到几篇文章，里面提到了什么微软中国团队、仅中国地区支持等相关字眼，这算什么？“入乡随俗”？我暂且不想评论什么中国特供之类的话题，但这种未经用户授权或在用户完全不知情的情况下静默推广安装软件、成为某些商业软件实验小白鼠的行为，令人深恶痛绝。Win10 之后以及 Edge 强制自动更新也不是一天两天的事，纯属被惯出来的坏毛病。

至于这个软件本身，因为没用过所以不予置评，有需要的人自然会用到。我自己是没有这方面的需求和安装意愿，如果真的是非装不可，就请拿出最大的诚意和实力来证明自己，让用户自行选择是否安装。