火绒实验室通过长期研究和跟踪发现,下载网站已经成为目前PC互联网安全威胁的重灾区。不光各种侵害用户权益的事情普遍存在,同时也是电脑病毒的重要传播源头。令人费解的是,这些侵权行为不单单存在某几个下载站,而是目前所有主流下载站的普遍行为。
根据火绒工程师的筛查,仅有少数不太知名的小下载站,不存在用户侵权行为。
乱象一:强行捆绑安装软件成常态
▼
不知道从什么时候开始,几乎所有的下载站都开始进行各种各样的捆绑安装,用户几乎无法按照自己的意愿下载软件。当用户下载软件时,被强行、欺骗安装一些自己并不需要的软件,这已经成为常态。可以说,整个下载站行业都在侵权。
这类侵权行为基本可以分为三种方式:
1、诱导安装
2、捆绑安装
3、再打包捆绑
1、诱导安装
请看“x迅网”的“微信电脑版2.1 正式版“下载页面 http://www.yxdown.com/soft/252631.html
[图1]下载到的下载器如下图所示,大标题是“微信电脑版2.1”。
注意左上角是乐游安装程序,该安装包不但不是“微信电脑版”的安装包,而且安装过程中还有很多默认勾选框。
这些勾选项包括:赤月传说2、输入法、360套装、QQ浏览器、鲁大师……等等。
[图2][图3][图4]安装完成,其实安装的是乐游安装程序,以及上述默认勾选项里的各种软件。
唯独没有用户本来要下载的“微信电脑版”。这是一种明显的欺骗用户的行为,当用户要下A时,得到的是B、C、D……,业内称之为“诱导安装”。
2、捆绑安装
无论下载的文件大小,下载站都会在显著位置暗示用户,有“高速下载通道”。
用户通过“高速通道”下载到的文件是一个下载器,下载器在下载用户需要的文件时,还会在不起眼的地方默认勾选别的下载项,甚至不提示用户直接捆绑下载别的软件。“高速下载通道”其实是下载器,它的唯一作用就是捆绑安装其他软件。
以xx6下载站为例,进入微信电脑版下载页面,整个页面除了广告以外就是诱导用户安装下载器(图中红色区域),而且即使用户正确的点击了图中绿色按钮的本地下载(图5),也会用高速下载描述欺骗用户使用下载器(图6)。
[图5 xx6下载站][图6 xx6下载站]还有很多比如“x军软件园”等老牌下载站,都有这个问题 http://www.onlinedown.net/
[图7 x军软件园][图8 x军软件园]从这些网站下载下来的高速下载器如下图:
[图9][图10]火绒工程师认为:所谓的“下载器”和“高速下载通道”既没有用处,也没有存在的必要。
为了躲避这些“下载器”的侵扰,用户可以去某个软件的官网下载产品,一般不用担心下载到下载器。
这些“下载器”存在的意义就是为了捆绑安装其他软件。这些捆绑软件无一例外都不是用户当时想要的,如果想要这些软件,在下载站上都能找到。
总之,除了给用户制造麻烦,所谓这些“高速下载通道”和“下载器”没有任何作用。
3、再打包捆绑
所谓的“再打包捆绑”也叫“二次打包”。
和上面所说的下载器不同,这是将用户要下载的软件的安装包,打包到另一个添加了捆绑软件的安装包中,让用户下载“一整包”软件,包括用户需要的,以及其他强行捆绑的其他软件。
譬如,我们从“xx45软件下载”(原x特http://www.duote.com/)下载的安装包都是再打包的,而且下载的被二次打包的程序图标都和原来要下载的软件一样。
如图所示,用户在“xx45下载”上下载“微信电脑版”时,会同时被安装2345安全卫士、2345加速浏览器、2345网址导航、视频(这些捆绑项会不定期变动)。
[图11][图12]乱象二:成为电脑病毒重要感染源
▼
下载站在捆绑安装侵害用户权益的同时,本身鱼龙混杂,也是电脑病毒的重灾区。有的下载站对软件产品审查不严,让某些携带电脑病毒的软件产品入驻,而某些流氓软件天生就和电脑病毒有紧密联系,携带病毒模块、病毒下载器,甚至完整的病毒。
同时,为了躲避安全软件对捆绑下载等侵权行为的拦截,许多下载站会欺骗用户关闭安全软件,这更为电脑病毒的传播打开了绿灯。
1、下载站的软件携带病毒
火绒实验室跟踪分析表明,某些和Ramnit类似的老病毒目前依然流行,下载站是其重要的传播通道,譬如知名下载站“x讯网”,在某段时间的补丁全部感染了Ramnit病毒:
http://www.yxdown.com/gongju/55654.html、http://www.yxdown.com/buding/62791.html
http://www.yxdown.com/gongju/63993.html、http://www.yxdown.com/gongju/64500.html
http://www.yxdown.com/gongju/65446.html、http://www.yxdown.com/gongju/62913.html
http://www.yxdown.com/gongju/55897.html、http://www.yxdown.com/gongju/55896.html
http://www.yxdown.com/gongju/36524.html、http://www.yxdown.com/gongju/54048.html
http://www.yxdown.com/gongju/47457.html、http://www.yxdown.com/gongju/24154.html
http://www.yxdown.com/gongju/24145.html、http://www.yxdown.com/gongju/49005.html
http://www.yxdown.com/gongju/53514.html、http://www.yxdown.com/gongju/54286.html
http://www.yxdown.com/buding/70521.html、http://www.yxdown.com/buding/69850.html
http://www.yxdown.com/gongju/63224.html、http://www.yxdown.com/gongju/34554.html
http://www.yxdown.com/gongju/24515.html、http://www.yxdown.com/gongju/24515.html
http://www.yxdown.com/buding/54571.html、http://www.yxdown.com/buding/33468.html
http://www.yxdown.com/buding/16229.html、http://www.yxdown.com/gongju/36885.html
http://www.yxdown.com/gongju/55274.html、http://www.yxdown.com/gongju/115988.html
http://www.yxdown.com/gongju/61981.html、http://www.yxdown.com/gongju/54577.html
http://www.yxdown.com/buding/64784.html、http://www.yxdown.com/buding/54551.html
其他下载站也因为检测、审查不严,时常有携带病毒的软件产品出现。
譬如:
生死狙击无敌辅助 透视 自动开枪 自瞄 武器修改 1.2
http://www.guguzhu.com/ssjj/255381.html
CF外服LTB解锁工具免费版
http://www.uzzf.com/soft/223164.html
若旧一键快鸟提速50M宽带(迅雷快鸟网络提速服务补丁)V1.0.1 绿色免费版
http://www.greenxf.com/soft/106599.html
2、为躲避监管,下载站诱导用户关闭安全软件
很多下载站会用各种理由提示用户,在下载软件时关闭安全软件,这就为病毒传播打开了方便之门。
举例如下:
http://www.yxdown.com/
[图13]http://www.52z.com/soft/192772.html
[图14]一个叫“x普下载”的下载站还有专门的官方声明,在申诉自己被杀毒软件“误杀”的同时,详细告诉用户如何关闭360杀毒、腾讯QQ管家和金山杀毒http://www.gpxz.com/diannao/changshi/377594.html
火绒工程师认为,让用户关闭安全软件有时有一定的合理性,但是一定要谨慎,这种行为很容易被病毒利用。
首先,破解工具、黑客工具、游戏登陆器等这类包含侵权性质的程序,有些会被安全软件检测为病毒,造成用户无法使用。
其次,一些常见的加密加壳工具也会被某些安全软件误报为病毒,很多小软件为了保护自己的知识产权使用了这些工具,由于长期处于误报和解决误报这种状态下,所以很多下载站也要求关闭或者添加白名单信任。(实习小苏)
雷锋网提示:上述两种情况都有可能被病毒制造者利用,甚至久而久之成为用户下载软件时的习惯,危险性非常大。因此关闭安全软件时务必谨慎,首先要确保该下载站相对靠谱、严谨,其次减少关闭安全软件的时间,下载完相应的产品后立刻打开安全软件,恢复监控等各种功能。
雷锋网注:以上内容为来自公众号火绒安全,雷锋网宅客频道授权转载。