导语:火绒实验室研究发现,下载网站已经成为目前PC互联网安全威胁的重灾区,不光各种侵害用户权益的事情普遍存在,同时也是电脑病毒的重要传播源头。令人费解的是,这些侵权行为不单单存在某几个下载站,而是目前所有主流下载站的普遍行为。

火绒实验室通过长期研究和跟踪发现,下载网站已经成为目前PC互联网安全威胁的重灾区,不光各种侵害用户权益的事情普遍存在,同时也是电脑病毒的重要传播源头。令人费解的是,这些侵权行为不单单存在某几个下载站,而是目前所有主流下载站的普遍行为。

根据火绒工程师的筛查,仅有少数不太知名的小下载站,不存在用户侵权行为。

乱象一:强行捆绑安装软件成常态

不知道从什么时候开始,几乎所有的下载站都开始进行各种各样的捆绑安装,用户几乎无法按照自己的意愿下载软件。当用户下载软件时,被强行、欺骗安装一些自己并不需要的软件,这已经成为常态。可以说,整个下载站行业都在侵权。

这类侵权行为基本可以分为三种方式:1、诱导安装,2、捆绑安装,3、再打包捆绑。

1、诱导安装

请看“x讯网”的“微信电脑版2.1 正式版”下载页面 。

1.png

图1

下载到的下载器如下图所示,大标题是“微信电脑版2.1”,注意左上角是乐游安装程序,该安装包不但不是“微信电脑版”的安装包,而且安装过程中还有很多默认勾选框,这些勾选项包括:赤月传说2、百度输入法、360套装、QQ浏览器、鲁大师……等等。

2.png

图2

3.png

图3

4.png

图4

安装完成,其实安装的是乐游安装程序,以及上述默认勾选项里的各种软件,唯独没有用户本来要下载的“微信电脑版”。这是一种明显的欺骗用户的行为,当用户要下A时,得到的是B、C、D……,业内称之为“诱导安装”。

2、捆绑安装

无论下载的文件大小,下载站都会在显著位置暗示用户,有“高速下载通道”。用户通过“高速通道”下载到的文件是一个下载器,下载器在下载用户需要的文件时,还会在不起眼的地方默认勾选别的下载项,甚至不提示用户直接捆绑下载别的软件。“高速下载通道”其实是下载器,它的唯一作用就是捆绑安装其他软件。

以xx6下载站为例,进入微信电脑版下载页面,整个页面除了广告以外就是诱导用户安装下载器(图中红色区域),而且即使用户正确的点击了图中绿色按钮的本地下载(图5),也会用高速下载描述欺骗用户使用下载器(图6)。

5.png

图5、xx6下载站

6.png

图6、xx6下载站

还有很多比如“x军软件园”等老牌下载站,都有这个问题。

7.png

图7、x军软件园

8.png

图8、x军软件园

从这些网站下载下来的高速下载器如下图:

9.png

图9

10.png

图10

火绒工程师认为:所谓的“下载器”和“高速下载通道”既没有用处,也没有存在的必要。为了躲避这些“下载器”的侵扰,用户可以去某个软件的官网下载产品,一般不用担心下载到下载器。

这些“下载器”存在的意义就是为了捆绑安装其他软件。这些捆绑软件无一例外都不是用户当时想要的,如果想要这些软件,在下载站上都能找到。总之,除了给用户制造麻烦,所谓这些“高速下载通道”和“下载器”没有任何作用。

3、再打包捆绑

所谓的“再打包捆绑”也叫“二次打包,”和上面所说的下载器不同,这是将用户要下载的软件的安装包,打包到另一个添加了捆绑软件的安装包中,让用户下载“一整包”软件,包括用户需要的,以及其他强行捆绑的其他软件。

譬如,我们从“xx45软件下载“”(原x特)下载的安装包都是再打包的,而且下载的被二次打包的程序图标都和原来要下载的软件一样。如图所示,用户在“xx45下载”上下载“微信电脑版”时,会同时被安装2345安全卫士、2345加速浏览器、2345网址导航、腾讯视频(这些捆绑项会不定期变动)。

11.png

图11

12.png

图12

乱象二:成为电脑病毒重要感染源

下载站在捆绑安装侵害用户权益的同时,本身鱼龙混杂,也是电脑病毒的重灾区。有的下载站对软件产品审查不严,让某些携带电脑病毒的软件产品入驻,而某些流氓软件天生就和电脑病毒有紧密联系,携带病毒模块、病毒下载器,甚至完整的病毒。

同时,为了躲避安全软件对捆绑下载等侵权行为的拦截,许多下载站会欺骗用户关闭安全软件,这更为电脑病毒的传播打开了绿灯。

1、下载站的软件携带病毒

火绒实验室跟踪分析表明,某些和Ramnit类似的老病毒目前依然流行,下载站是其重要的传播通道,譬如知名下载站“x讯网”,在某段时间的补丁全部感染了Ramnit病毒:

http://www.yxdown.com/gongju/55654.html、http://www.yxdown.com/buding/62791.html
http://www.yxdown.com/gongju/63993.html、http://www.yxdown.com/gongju/64500.html
http://www.yxdown.com/gongju/65446.html、http://www.yxdown.com/gongju/62913.html
http://www.yxdown.com/gongju/55897.html、http://www.yxdown.com/gongju/55896.html
http://www.yxdown.com/gongju/36524.html、http://www.yxdown.com/gongju/54048.html
http://www.yxdown.com/gongju/47457.html、http://www.yxdown.com/gongju/24154.html
http://www.yxdown.com/gongju/24145.html、http://www.yxdown.com/gongju/49005.html
http://www.yxdown.com/gongju/53514.html、http://www.yxdown.com/gongju/54286.html
http://www.yxdown.com/buding/70521.html、http://www.yxdown.com/buding/69850.html
http://www.yxdown.com/gongju/63224.html、http://www.yxdown.com/gongju/34554.html
http://www.yxdown.com/gongju/24515.html、http://www.yxdown.com/gongju/24515.html
http://www.yxdown.com/buding/54571.html、http://www.yxdown.com/buding/33468.html
http://www.yxdown.com/buding/16229.html、http://www.yxdown.com/gongju/36885.html
http://www.yxdown.com/gongju/55274.html、http://www.yxdown.com/gongju/115988.html
http://www.yxdown.com/gongju/61981.html、http://www.yxdown.com/gongju/54577.html
http://www.yxdown.com/buding/64784.html、http://www.yxdown.com/buding/54551.html

其他下载站也因为检测、审查不严,时常有携带病毒的软件产品出现。

譬如:

生死狙击无敌辅助 透视+自动开枪+自瞄+武器修改 1.2

CF外服LTB解锁工具免费版

若旧一键迅雷快鸟提速50M宽带(迅雷快鸟网络提速服务补丁)V1.0.1 绿色免费版

2、为躲避监管,下载站诱导用户关闭安全软件

很多下载站会用各种理由提示用户,在下载软件时关闭安全软件,这就为病毒传播打开了方便之门。

举例如下:

http://www.yxdown.com/

13.png

图13

http://www.52z.com/soft/192772.html

14.png

图14

一个叫“x普下载”的下载站还有专门的官方声明,在申诉自己被杀毒软件“误杀”的同时,详细告诉用户如何关闭360杀毒、腾讯QQ管家和金山杀毒。

火绒工程师认为,让用户关闭安全软件有时有一定的合理性,但是一定要谨慎,这种行为很容易被病毒利用。首先,破解工具、黑客工具、游戏登陆器等这类包含侵权性质的程序,有些会被安全软件检测为病毒,造成用户无法使用。其次,一些常见的加密加壳工具也会被某些安全软件误报为病毒,很多小软件为了保护自己的知识产权使用了这些工具,由于长期处于误报和解决误报这种状态下,所以很多下载站也要求关闭或者添加白名单信任。

但是上述两种情况都有可能被病毒制造者利用,甚至久而久之成为用户下载软件时的习惯,危险性非常大。因此关闭安全软件时务必谨慎,首先要确保该下载站相对靠谱、严谨,其次减少关闭安全软件的时间,下载完相应的产品后立刻打开安全软件,恢复监控等各种功能。

源链接

Hacking more

...