火绒安全软件

火绒安全播报
发新帖
打印 上一主题 下一主题

不想再走下载器的套路? 你要的火绒拦截功能来了

  [复制链接]
84567 93
楼主
发表于 2020-3-31 18:13:35 | 只看该作者 |倒序浏览 |阅读模式
跳转到指定楼层
相信很多人都遇到过下载软件打开后,却莫名其妙发现是一个下载器的情况,抱着试试的想法点击运行,不仅可能没有得到想要的软件,还极有可能会捅了“流氓窝”:软件推广、广告弹窗、桌面快捷方式等等涌向电脑,甚至还携带了病毒到本地执行,令人苦不堪言。


图:下载器运行界面


图:下载器文件名及文件图标

火绒也收到过很多用户遭遇下载器流氓行为的求助,我们也推过不少披露关于“下载器”的报告。至此,我们再次将“下载器”流氓行径、特点、传播渠道等一一梳理曝光,提醒广大用户,并配合推出专门拦截此类流氓“下载器”的功能,希望能帮助大家免受侵扰。(【访问控制】-【程序执行控制】-点击开启按钮即可开启)

一、购买搜索排名
当我们需要下载软件时,会通过搜索引擎对软件进行搜索,之后找到相应软件的下载地址进行下载。

但是,通常我们在搜索结果中所看到的下载链接,大部分均为下载站链接。例如,我们以下载网易云音乐为例,相关搜索后结果如下图所示:

图:搜索引擎结果显示

可以看到,在第一页的搜索结果中,10条有8条(红框标注部分)甚至排名第一位的都是第三方下载器平台的下载链接,普通用户稍不注意就会落入了下载器的广告推广套路之中。

二、通过下载站传播
我们以太平洋下载中心为例,点击此链接后,来到如下界面,如下图所示:

图:太平洋下载网站界面

当看到“本地下载”和“可以提速50%”的高速下载时,没有经验的普通用户往往为了提升下载速度,选择高速下载。

但高速下载并不会直接下载下来所需软件,而是下载了一个下载器。一旦点击运行,就会面临各种流氓行为的侵扰(下方有具体描述)。

这些下载站的高速下载器有两个特点:

一是同一下载站中的不同软件高速下载器文件内容完全相同。这意味着用户在该下载站下载执行任何一款软件,都会面临相同的流氓广告推广行为。

以下载如下三个常用软件为例,可见最终得到的下载器hash完全相同。如下图所示:

图:不同软件对应的下载器hash

国内此类下载站众多,常见的软件下载网站如下图所示:

图:常见下载网站汇总

二是不同下载站也会使用相同一套高速下载器程序。这又表明用户即便换一个下载站,还是会面临上述风险。

以文件描述信息为“智能下载器”为例,相关信息如下图所示:

图:智能下载器相关文件信息

使用该“智能下载器”的下载站共有36家下载站,相关下载站如下图所示:

图:使用智能下载器的下载站

以太平洋下载站的智能高速下载器为例,界面软件推广配置及界面如下图所示:

图:智能高速下载器界面软件推广

常见下载器推广软件汇总信息如下图所示:


图:常见下载器推广软件汇总信息

三、仿冒官网进一步传播
另外,一些无良下载站甚至会假冒软件官网传播下载器。不久前,火绒安全团队收到用户反馈,称在火绒“官网”下载的火绒安装包会捆绑安装其他软件。我们调查后发现,用户访问的网站并非真正的火绒官网,而是极具欺骗性的“李鬼”火绒官网。

图:下载站仿冒的火绒官网

该网站盗用了“火绒3.0”的Logo,并自称“官方免费版”,非常像一个独立软件的官网,所以不熟悉火绒的人极易相信这就是火绒的官方网站,从而点击下载。

图:下载“火绒”后显示为下载器

诸如此类的“李鬼”官网会提供多种下载方式,然而无论用户选择何种下载方式,都指向的是相同的下载器,且具备与下载站下载器相同的危害。


四、下载器的流氓行为
通常情况,这些下载器的程序图标和界面大致相同,运行后极有可能进行软件推广、桌面广告弹窗、右下角广告弹窗、托盘图标闪烁、添加网页收藏链接、创建桌面快捷方式等流氓行为,有的下载器甚至还会静默推广软件,下载锁首病毒到本地执行。

图:桌面广告弹窗图

图:右下角广告弹窗

其中,包括托盘图标闪烁、添加网页收藏链接等推广方式让用户难以取消或发现。

盘图标闪烁是一种比较典型的下载器流氓行为,它不具有直接的关闭按钮,除非用户通过进程管理器关闭下载器进程,否则只能手动点击,等待浏览器自动打开广告链接,最后关闭浏览器。相关现象如下图所示:

图:任务栏图标和托盘图标闪烁图

同样,添加网页收藏链接是下载器常见的流氓行为,相关现象如下图所示:

图:浏览器添加收藏链接

更过分的是,此类下载器服务端通常会根据用户所在地区下发不同的配置,其中包括下载器的界面配置和推广配置,从而实现同一下载器执行不同的推广策略。
同一下载器的在不同地区进行执行,得到的界面如下图所示:

图:下载器界面图

此外,还有更精准的,从不同地区请求的推广配置信息也有所不同,其中包括了各种广告和软件推广的配置信息。

图:相同的模块请求得到不同的广告推广配置

五、火绒新增拦截下载器功能
下载站与下载器的流氓的商业行为对不了解互联网的普通用户非常不友好,我们也经常收到用户关于此类问题的求助。随着流量变现的多样化发展,第三方软件下载站平台会层出不穷,流氓手段也会花样繁多。大家平时在下载软件的时候,一定要前往正规的官网下载。

为了能帮助大家避免遇到该问题,我们在新版的火绒安全客户端中新增加了针对于此类”高速下载器”的拦截功能,您可以在【访问控制】-【程序执行控制】中,手动选择开启此功能开关(默认关闭),从而拦截此类程序的执行。相关开关及其现象如下图所示:

图:火绒安全客户端配置

图:火绒拦截下载器程序运行

附火绒相关报告:
1、《无节制流氓推广 2345旗下下载站正在传播木马程序》
https://www.huorong.cn/info/1583504456441.html
2、《小心这类“李鬼”网站 靠搜索引擎“助力”流氓下载器推广》
https://www.huorong.cn/info/1577158839403.html
3、《后门病毒通过下载站传播 全面劫持各大主流浏览器》
https://www.huorong.cn/info/1529567314136.html
4、《新病毒利用多家知名下载站疯狂传播 日感染量最高达十余万》
https://www.huorong.cn/info/1518338707106.html
5、《下载站行业乱象:流氓软件和电脑病毒重灾区》
https://www.huorong.cn/info/149181215360.html


评分

参与人数 20金钱 +72 收起 理由
一米七五 + 5 这点太给力了!!!
雪君 + 1
Tianming211 + 1 为什么你这么给力??
496175433 + 1 内容超赞!!!
maxxfq + 1 内容超赞!!!
咿呀撒撒 + 5 内容超赞!!!
Theking + 5 妙啊~~~~~~~~~
xykplq + 5 为什么你这么给力??
堇年 + 5 为什么你这么给力??
有莘不破 + 1 内容超赞!!!
gm67256056 + 5
贺凯昭 + 5 内容超赞!!!
Invalid_ID + 5 尽量官网下载!
某皮耗子 + 1 为什么你这么给力??
小执着丶 + 5 为什么你这么给力??
最佳幸运 + 5 为什么你这么给力??
Wenson9 + 1 不错,支持了!!
FleetingTime + 5 内容超赞!!!
看破红尘 + 5 超级大水笔!!
Lucifer + 5 老子头回看见把握用户核心痛点的.

查看全部评分

回复

使用道具 举报

84567 93
沙发
发表于 2020-3-31 18:39:06 | 只看该作者
文件内容一样,为什么却能下载不同的内容呢?当然是因为文件名啦
回复

使用道具 举报

84567 93
板凳
发表于 2020-3-31 19:21:53 | 只看该作者
里面的腾讯软件管家下载还是可以的
回复

使用道具 举报

84567 93
地板
发表于 2020-3-31 20:11:32 来自手机 | 只看该作者
我不是吹的,我看下载的程序的名字就知道是不是下载器
回复

使用道具 举报

84567 93
5#
发表于 2020-3-31 20:32:37 | 只看该作者
https://guanjia.qq.com/news/n3/2565.html
腾讯把自家软件的推广给打码了还没打全,这不是此地无银三百两吗?

评分

参与人数 1金钱 +1 收起 理由
想成为大佬 + 1 (滑稽)

查看全部评分

回复

使用道具 举报

84567 93
6#
发表于 2020-3-31 20:49:01 | 只看该作者
这玩意就是国内PC的最大祸害,把握住了这个痛点,说明火绒真正摸着石头准备过河了,可喜可贺
回复

使用道具 举报

84567 93
7#
发表于 2020-4-1 09:05:41 | 只看该作者
终于等到了,爱死火绒了!!!
回复

使用道具 举报

84567 93
8#
发表于 2020-4-1 16:17:49 | 只看该作者
zay365 发表于 2020-3-31 20:32
https://guanjia.qq.com/news/n3/2565.html
腾讯把自家软件的推广给打码了还没打全,这不是此地无银三百两 ...

哈哈,搜狗和酷我为什么也要打码

回复

使用道具 举报

84567 93
9#
发表于 2020-4-1 16:19:31 | 只看该作者
建议和软件捆绑拦截放在一起,标明是下载器,默认关闭没有什么意义,能找到开启入口的也不会分不清下载器
回复

使用道具 举报

84567 93
10#
发表于 2020-4-1 16:24:46 | 只看该作者
小宇宙 发表于 2020-3-31 18:18
值得推荐,我还清晰的记得,去年我被下载器蒙骗,电脑瞬间变成了软件库。那些下载器不断地给我下,什么游戏 ...

下载器虽然不是人,但是真的狗

评分

参与人数 1金钱 +1 收起 理由
想成为大佬 + 1 对,一生万物

查看全部评分

回复

使用道具 举报

84567 93
11#
发表于 2020-4-1 17:21:44 | 只看该作者
绿坝-花季护航 发表于 2020-4-1 16:17
哈哈,搜狗和酷我为什么也要打码

酷我是腾讯的,搜狗是腾讯的合作方
回复

使用道具 举报

84567 93
12#
发表于 2020-4-1 17:23:07 | 只看该作者
zay365 发表于 2020-4-1 17:21
酷我是腾讯的,搜狗是腾讯的合作方

自欺欺人
回复

使用道具 举报

84567 93
13#
发表于 2020-4-1 20:32:42 | 只看该作者
值得学习了
回复

使用道具 举报

84567 93
14#
发表于 2020-4-3 05:33:19 | 只看该作者
重庆客运段 发表于 2020-3-31 18:39
文件内容一样,为什么却能下载不同的内容呢?当然是因为文件名啦

所以山那搜狗那搜狗生活个巛
回复

使用道具 举报

84567 93
15#
发表于 2020-4-4 01:12:33 | 只看该作者
不懂的确实会中招,特别是那种非常醒目的放大的下载按钮,最好别点,要点点那种看起来非常垃圾的普通下载。。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

快速回复 返回顶部 返回列表