相信很多人都遇到过下载软件打开后,却莫名其妙发现是一个下载器的情况,抱着试试的想法点击运行,不仅可能没有得到想要的软件,还极有可能会捅了“流氓窝”:软件推广、广告弹窗、桌面快捷方式等等涌向电脑,甚至还携带了病毒到本地执行,令人苦不堪言。
图:下载器运行界面
图:下载器文件名及文件图标
火绒也收到过很多用户遭遇下载器流氓行为的求助,我们也推过不少披露关于“下载器”的报告。至此,我们再次将“下载器”流氓行径、特点、传播渠道等一一梳理曝光,提醒广大用户,并配合推出专门拦截此类流氓“下载器”的功能,希望能帮助大家免受侵扰。(【访问控制】-【程序执行控制】-点击开启按钮即可开启)
一、购买搜索排名
当我们需要下载软件时,会通过搜索引擎对软件进行搜索,之后找到相应软件的下载地址进行下载。
但是,通常我们在搜索结果中所看到的下载链接,大部分均为下载站链接。例如,我们以下载网易云音乐为例,相关搜索后结果如下图所示:
图:搜索引擎结果显示
可以看到,在第一页的搜索结果中,10条有8条(红框标注部分)甚至排名第一位的都是第三方下载器平台的下载链接,普通用户稍不注意就会落入了下载器的广告推广套路之中。
二、通过下载站传播
我们以太平洋下载中心为例,点击此链接后,来到如下界面,如下图所示:
图:太平洋下载网站界面
当看到“本地下载”和“可以提速50%”的高速下载时,没有经验的普通用户往往为了提升下载速度,选择高速下载。
但高速下载并不会直接下载下来所需软件,而是下载了一个下载器。一旦点击运行,就会面临各种流氓行为的侵扰(下方有具体描述)。
这些下载站的高速下载器有两个特点:
一是同一下载站中的不同软件高速下载器文件内容完全相同。这意味着用户在该下载站下载执行任何一款软件,都会面临相同的流氓广告推广行为。
以下载如下三个常用软件为例,可见最终得到的下载器hash完全相同。如下图所示:
图:不同软件对应的下载器hash
国内此类下载站众多,常见的软件下载网站如下图所示:
图:常见下载网站汇总
二是不同下载站也会使用相同一套高速下载器程序。这又表明用户即便换一个下载站,还是会面临上述风险。
以文件描述信息为“智能下载器”为例,相关信息如下图所示:
图:智能下载器相关文件信息
使用该“智能下载器”的下载站共有36家下载站,相关下载站如下图所示:
图:使用智能下载器的下载站
以太平洋下载站的智能高速下载器为例,界面软件推广配置及界面如下图所示:
图:智能高速下载器界面软件推广
常见下载器推广软件汇总信息如下图所示:
图:常见下载器推广软件汇总信息
三、仿冒官网进一步传播
另外,一些无良下载站甚至会假冒软件官网传播下载器。不久前,火绒安全团队收到用户反馈,称在火绒“官网”下载的火绒安装包会捆绑安装其他软件。我们调查后发现,用户访问的网站并非真正的火绒官网,而是极具欺骗性的“李鬼”火绒官网。
图:下载站仿冒的火绒官网
该网站盗用了“火绒3.0”的Logo,并自称“官方免费版”,非常像一个独立软件的官网,所以不熟悉火绒的人极易相信这就是火绒的官方网站,从而点击下载。
图:下载“火绒”后显示为下载器
诸如此类的“李鬼”官网会提供多种下载方式,然而无论用户选择何种下载方式,都指向的是相同的下载器,且具备与下载站下载器相同的危害。
四、下载器的流氓行为
通常情况,这些下载器的程序图标和界面大致相同,运行后极有可能进行软件推广、桌面广告弹窗、右下角广告弹窗、托盘图标闪烁、添加网页收藏链接、创建桌面快捷方式等流氓行为,有的下载器甚至还会静默推广软件,下载锁首病毒到本地执行。
图:桌面广告弹窗图
图:右下角广告弹窗
其中,包括托盘图标闪烁、添加网页收藏链接等推广方式让用户难以取消或发现。
盘图标闪烁是一种比较典型的下载器流氓行为,它不具有直接的关闭按钮,除非用户通过进程管理器关闭下载器进程,否则只能手动点击,等待浏览器自动打开广告链接,最后关闭浏览器。相关现象如下图所示:
图:任务栏图标和托盘图标闪烁图
同样,添加网页收藏链接是下载器常见的流氓行为,相关现象如下图所示:
图:浏览器添加收藏链接
更过分的是,此类下载器服务端通常会根据用户所在地区下发不同的配置,其中包括下载器的界面配置和推广配置,从而实现同一下载器执行不同的推广策略。
同一下载器的在不同地区进行执行,得到的界面如下图所示:
图:下载器界面图
此外,还有更精准的,从不同地区请求的推广配置信息也有所不同,其中包括了各种广告和软件推广的配置信息。
图:相同的模块请求得到不同的广告推广配置
五、火绒新增拦截下载器功能
下载站与下载器的流氓的商业行为对不了解互联网的普通用户非常不友好,我们也经常收到用户关于此类问题的求助。随着流量变现的多样化发展,第三方软件下载站平台会层出不穷,流氓手段也会花样繁多。大家平时在下载软件的时候,一定要前往正规的官网下载。
为了能帮助大家避免遇到该问题,我们在新版的火绒安全客户端中新增加了针对于此类”高速下载器”的拦截功能,您可以在【访问控制】-【程序执行控制】中,手动选择开启此功能开关(默认关闭),从而拦截此类程序的执行。相关开关及其现象如下图所示:
图:火绒安全客户端配置
图:火绒拦截下载器程序运行
附火绒相关报告:
1、《无节制流氓推广 2345旗下下载站正在传播木马程序》
https://www.huorong.cn/info/1583504456441.html
2、《小心这类“李鬼”网站 靠搜索引擎“助力”流氓下载器推广》
https://www.huorong.cn/info/1577158839403.html
3、《后门病毒通过下载站传播 全面劫持各大主流浏览器》
https://www.huorong.cn/info/1529567314136.html
4、《新病毒利用多家知名下载站疯狂传播 日感染量最高达十余万》
https://www.huorong.cn/info/1518338707106.html
5、《下载站行业乱象:流氓软件和电脑病毒重灾区》
https://www.huorong.cn/info/149181215360.html