相信很多人都遇到過下載軟件打開後,卻莫名其妙發現是一個下載器的情況,抱著試試的想法點擊運行,不僅可能沒有得到想要的軟件,還極有可能會捅了“流氓窩”:軟件推廣、廣告彈窗、桌面快捷方式等等湧向電腦,甚至還攜帶了病毒到本地執行,令人苦不堪言。
圖:下載器運行界面
圖:下載器文件名及文件圖標
火絨也收到過很多用戶遭遇下載器流氓行為的求助,我們也推過不少披露關於“下載器”的報告。至此,我們再次將“下載器”流氓行徑、特點、傳播渠道等一一梳理曝光,提醒廣大用戶,並配合推出專門攔截此類流氓“下載器”的功能,希望能幫助大家免受侵擾。(【訪問控制】-【程序執行控制】-點擊開啟按鈕即可開啟)
一、購買搜索排名
當我們需要下載軟件時,會通過搜索引擎對軟件進行搜索,之後找到相應軟件的下載地址進行下載。
但是,通常我們在搜索結果中所看到的下載鏈接,大部分均為下載站鏈接。例如,我們以下載網易雲音樂為例,相關搜索後結果如下圖所示:
圖:搜索引擎結果顯示
可以看到,在第一頁的搜索結果中,10條有8條(紅框標註部分)甚至排名第一位的都是第三方下載器平臺的下載鏈接,普通用戶稍不注意就會落入了下載器的廣告推廣套路之中。
二、通過下載站傳播
我們以太平洋下載中心為例,點擊此鏈接後,來到如下界面,如下圖所示:
當看到“本地下載”和“可以提速50%”的高速下載時,沒有經驗的普通用戶往往為了提升下載速度,選擇高速下載。
但高速下載並不會直接下載下來所需軟件,而是下載了一個下載器。一旦點擊運行,就會面臨各種流氓行為的侵擾(下方有具體描述)。
這些下載站的高速下載器有兩個特點:
一是同一下載站中的不同軟件高速下載器文件內容完全相同。這意味著用戶在該下載站下載執行任何一款軟件,都會面臨相同的流氓廣告推廣行為。
以下載如下三個常用軟件為例,可見最終得到的下載器hash完全相同。如下圖所示:
圖:不同軟件對應的下載器hash
國內此類下載站眾多,常見的軟件下載網站如下圖所示:
圖:常見下載網站彙總
二是不同下載站也會使用相同一套高速下載器程序。這又表明用戶即便換一個下載站,還是會面臨上述風險。
以文件描述信息為“智能下載器”為例,相關信息如下圖所示:
圖:智能下載器相關文件信息
使用該“智能下載器”的下載站共有36家下載站,相關下載站如下圖所示:
圖:使用智能下載器的下載站
以太平洋下載站的智能高速下載器為例,界面軟件推廣配置及界面如下圖所示:
圖:智能高速下載器界面軟件推廣
常見下載器推廣軟件彙總信息如下圖所示:
圖:常見下載器推廣軟件彙總信息
三、仿冒官網進一步傳播
另外,一些無良下載站甚至會假冒軟件官網傳播下載器。不久前,火絨安全團隊收到用戶反饋,稱在火絨“官網”下載的火絨安裝包會捆綁安裝其他軟件。我們調查後發現,用戶訪問的網站並非真正的火絨官網,而是極具欺騙性的“李鬼”火絨官網。
圖:下載站仿冒的火絨官網
該網站盜用了“火絨3.0”的Logo,並自稱“官方免費版”,非常像一個獨立軟件的官網,所以不熟悉火絨的人極易相信這就是火絨的官方網站,從而點擊下載。
圖:下載“火絨”後顯示為下載器
諸如此類的“李鬼”官網會提供多種下載方式,然而無論用戶選擇何種下載方式,都指向的是相同的下載器,且具備與下載站下載器相同的危害。
四、下載器的流氓行為
通常情況,這些下載器的程序圖標和界面大致相同,運行後極有可能進行軟件推廣、桌面廣告彈窗、右下角廣告彈窗、托盤圖標閃爍、添加網頁收藏鏈接、創建桌面快捷方式等流氓行為,有的下載器甚至還會靜默推廣軟件,下載鎖首病毒到本地執行。
圖:桌面廣告彈窗圖
圖:右下角廣告彈窗
其中,包括托盤圖標閃爍、添加網頁收藏鏈接等推廣方式讓用戶難以取消或發現。
盤圖標閃爍是一種比較典型的下載器流氓行為,它不具有直接的關閉按鈕,除非用戶通過進程管理器關閉下載器進程,否則只能手動點擊,等待瀏覽器自動打開廣告鏈接,最後關閉瀏覽器。相關現象如下圖所示:
圖:任務欄圖標和托盤圖標閃爍圖
同樣,添加網頁收藏鏈接是下載器常見的流氓行為,相關現象如下圖所示:
圖:瀏覽器添加收藏鏈接
更過分的是,此類下載器服務端通常會根據用戶所在地區下發不同的配置,其中包括下載器的界面配置和推廣配置,從而實現同一下載器執行不同的推廣策略。
同一下載器的在不同地區進行執行,得到的界面如下圖所示:
圖:下載器界面圖
此外,還有更精準的,從不同地區請求的推廣配置信息也有所不同,其中包括了各種廣告和軟件推廣的配置信息。
圖:相同的模塊請求得到不同的廣告推廣配置
五、火絨新增攔截下載器功能
下載站與下載器的流氓的商業行為對不瞭解互聯網的普通用戶非常不友好,我們也經常收到用戶關於此類問題的求助。隨著流量變現的多樣化發展,第三方軟件下載站平臺會層出不窮,流氓手段也會花樣繁多。大家平時在下載軟件的時候,一定要前往正規的官網下載。
為了能幫助大家避免遇到該問題,我們在新版的火絨安全客戶端中新增加了針對於此類”高速下載器”的攔截功能,您可以在【訪問控制】-【程序執行控制】中,手動選擇開啟此功能開關(默認關閉),從而攔截此類程序的執行。相關開關及其現象如下圖所示:
圖:火絨安全客戶端配置
圖:火絨攔截下載器程序運行
附火絨相關報告:
1、《無節制流氓推廣 2345旗下下載站正在傳播木馬程序》
2、《小心這類“李鬼”網站 靠搜索引擎“助力”流氓下載器推廣》
3、《後門病毒通過下載站傳播 全面劫持各大主流瀏覽器》
4、《新病毒利用多家知名下載站瘋狂傳播 日感染量最高達十餘萬》
5、《下載站行業亂象:流氓軟件和電腦病毒重災區》
閱讀更多 火絨安全實驗室 的文章
