蓝点网
给你感兴趣的内容

流氓软件化身各种卫士 携带病毒对抗杀毒软件

相信几乎所有人都遇到过自己的电脑莫名其妙被安装了各种软件或修改浏览器主页的事儿,除了其他软件的捆绑或许那就是病毒在作祟了。

但你是否想过或许在刚安装好系统之后就已经被植入了病毒呢?事实上这种情况在国内也是相当相当常见的。

正如你所知道的各种Ghost系统、U盘启动工具、PE工具等,往往里面都已经被植入了各种乱七八糟的东西。

这也是蓝点网坚持安利大家使用纯净系统和PE工具的主要原因,下面来看看火绒发现的流氓化身卫士的勾当。

一、好好的系统无法安装各种安全软件

近期火绒接到用户反馈称无法安装火绒或其他品牌的杀毒软件,即使刚刚重装好的系统也无法进行正常安装。

经火绒实验室的排查发现用户的系统里存在多个SYS格式的文件,其中某个文件专门来阻断安全软件的安装。

除了火绒杀毒被阻断外,从下面的图片中我们可以看到几乎国内外所有的安全软件都会被直接阻挡禁止安装。

流氓软件化身各种卫士 携带病毒对抗杀毒软件

国内安全软件行业前几年的各种大战后现在基本上都可以互相兼容了,即使你愿意的话安装多个杀毒软件除了系统变卡外也可以正常运行。

也就是说这种阻断其他安全软件安装的事儿至少可以表明不是正常的杀毒软件干的,那么什么软件这么牛呢?

二、流氓软件化身卫士 标榜安全转身就是流氓

经过进一步排查后火绒实验室发现上述SYS文件属于名为浏览器卫士和铠甲卫士的软件,乍一看还挺正规的。

然而这两个软件标榜自己为用户提供安全服务,实际上却没有任何安全方面的功能,唯一有的就是锁定用户浏览器主页来获取网址导航网站的分成。

更加恶心的是当用户下载软件时也会被劫持,例如当你下载QQ浏览器时该卫士检测到后就会给你替换成带有推广标识的安装包,然后获得软件推广的分成。

除此之外该流氓软件还会在桌面生成诸如百度、淘宝、京东等返利链接,以此获得用户购买商品时的分成。

这两款流氓软件同时还会采取多种措施将自己写入注册表并开机自启动,禁止用户试图删除或禁止其启动。

流氓软件化身各种卫士 携带病毒对抗杀毒软件

就这样的软件至今仍然可以在互联网上公然传播、其主页上依然写着专注守护你的电脑安全,不知道他们看这句话自己会不会被恶心到。

流氓软件化身各种卫士 携带病毒对抗杀毒软件

三、为什么流氓能够进入用户的电脑

除了有用户主动前往流氓软件的主页下载安装流氓外,绝大部分都是被其他软件或系统直接进行捆绑的。

这也是为什么本文开头我们说要使用纯净的系统和U盘工具以及PE工具的原因,事实上流氓就是通过这种途径潜入用户的电脑的。

网上Ghost系统众所周知被捆绑了各种推广软件或者锁定了浏览器主页,更有甚至禁止用户卸载捆绑的软件或主页,当用户重启电脑后这些软件再次自动安装。

但Ghost系统本身存在版权原因不少流氓公司并不会直接提供这类系统,于是换个思路做U盘启动和PE工具。

正如本文提到的两款卫士,就是背后的公司利用其覆盖面较广的U盘和PE工具在用户装机时直接嵌入其中的。

这两款卫士的作者注册了多个U盘和PE类工具的域名,例如

  • www.bigbaicai.com
  • www.ushendu.net
  • www.laomaotaoupan.cn

事实上这三个域名也是常见的大白菜U盘工具、U深度和老毛桃相关的,并且这三个网站应该是全部山寨的。

虽然我们也不推荐使用上述三款工具(因为也存在捆绑),但经过仔细对比后我们认为这三个网站都应该是山寨那三款工具来进行传播流氓软件的(而非属于那三款工具)。

在某搜索相关关键词可以发现山寨网站的排名还是非常靠前的,因此用户中招的情况应该还是非常多的。

四、安全性推荐

如果你需要使用U盘工具或PE工具的话建议你还是使用干净的,例如以下几款:

除了使用干净的U盘工具和PE工具外也最好使用原版系统镜像而不要去找所谓的纯净系统,那都是骗人的。

有兴趣查看火绒实验室针对这两款流氓的详细分析请点击这里:流氓软件化身“卫士” 携带病毒对抗安全软件

转载请注明蓝点网 » 流氓软件化身各种卫士 携带病毒对抗杀毒软件
分享到:
除非特别注明否则下列评论均不代表本站观点

评论 20

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #8
    Google Chrome 54.0.2840.87 Google Chrome 54.0.2840.87 Windows 7 x64 Edition Windows 7 x64 Edition

    鸭子哥你好,Yukino_PE,下载后300M+的ISO,怎么弄成可启动U盘啊? 试着用UltraISO刻录,选择隐藏分区,可是无法引导?总不能一个32G的U盘整个做成FAT32格式的,那也没法放Win7的ISO了啊。指点下吧。

    昆明跳汰机4个月前 (01-09)回复
    • Google Chrome 55.0.2883.87 Google Chrome 55.0.2883.87 Windows 10 x64 Edition Windows 10 x64 Edition

      PE直接软碟通刻录进去即可 win系统的iso直接复制进去 到PE里把iso复制到其他盘就行了 再说了你没事干复制win的iso干嘛 直接放到其他盘就是 如果要直接U盘启动那也不需要PE了 反正不能一起刻录到一个U盘里

      山外的鸭子哥4个月前 (01-09)回复
  2. #7
    Google Chrome 54.0.2840.99 Google Chrome 54.0.2840.99 Windows 10 x64 Edition Windows 10 x64 Edition

    鸭子哥有没有干净的win7 和 xp的32位ghost啊?

    #inc4个月前 (01-08)回复
  3. #6
    Google Chrome 55.0.2883.87 Google Chrome 55.0.2883.87 Windows 10 x64 Edition Windows 10 x64 Edition

    鸭子哥,在哪里下载去广告的搜狗输入法啊

    abc_14个月前 (01-07)回复
    • Google Chrome 55.0.2883.87 Google Chrome 55.0.2883.87 Windows 10 x64 Edition Windows 10 x64 Edition

      蓝点网搜索搜狗输入法

      山外的鸭子哥4个月前 (01-07)回复
  4. #5
    Google Chrome 55.0.2883.87 Google Chrome 55.0.2883.87 Windows 10 x64 Edition Windows 10 x64 Edition

    所谓的“卫士”大部分都是“流氓”!所以我情愿裸奔也不用国内的任何“卫士”!国内的安全软件因360已经是彻底的“无节操、无下限”了!

    明月登楼的博客4个月前 (01-06)回复
  5. #4
    Microsoft Edge 14.14393 Microsoft Edge 14.14393 Windows 10 x64 Edition Windows 10 x64 Edition

    还有一点需要说明,安装的时候windows defender阻止了,看来微软的安全软件也不只是摆设。

    来学习了4个月前 (01-06)回复
    • Google Chrome 55.0.2883.87 Google Chrome 55.0.2883.87 Windows 10 x64 Edition Windows 10 x64 Edition

      是的 Windows defender 、smartscreen筛选器以及chrome下载时也提示了安全警告说会有广告

      山外的鸭子哥4个月前 (01-06)回复
      • Microsoft Edge 14.14393 Microsoft Edge 14.14393 Windows 10 x64 Edition Windows 10 x64 Edition

        因为是使用的ubuntu启动盘和微软官网下载的iso,且iso进行了校验,在ubuntu下进行安装的,windows大部分病毒应该都与不在ubuntu下运行复制,好像也能排除胎里带的可能性。

        来学习了4个月前 (01-06)回复
      • Microsoft Edge 14.14393 Microsoft Edge 14.14393 Windows 10 x64 Edition Windows 10 x64 Edition

        系统也是非激活工具激活的。

        来学习了4个月前 (01-06)回复
  6. #3
    Microsoft Edge 14.14393 Microsoft Edge 14.14393 Windows 10 x64 Edition Windows 10 x64 Edition

    18183.com的球球大作战安装包就是流氓软件,安装时去掉勾选的绑定软件,依然会安装其他软件。例如:UC浏览器、那个什么游戏,忘记名字了。更改浏览器主页,还会卸载正在使用的已安装浏览器。因为是新装机器,只好全盘格掉,重新安装了系统。

    来学习了4个月前 (01-06)回复
    • Google Chrome 55.0.2883.87 Google Chrome 55.0.2883.87 Windows 10 x64 Edition Windows 10 x64 Edition

      18183和国内大多数下载站一样都会捆绑一堆软件 上周我才测试 区别的是18183只提供捆绑包 其他下载站还会提供普通下载也就是不捆绑的包

      山外的鸭子哥4个月前 (01-06)回复
  7. #2
    Google Chrome 55.0.2883.87 Google Chrome 55.0.2883.87 Windows 10 x64 Edition Windows 10 x64 Edition

    把图1的列表改一下是不是就可以防止百度之类的流氓软件自动安装了

    endream4个月前 (01-06)回复
    • Google Chrome 55.0.2883.87 Google Chrome 55.0.2883.87 Windows 10 x64 Edition Windows 10 x64 Edition

      …想多了 那还不如直接禁止掉百度的证书

      山外的鸭子哥4个月前 (01-06)回复
  8. #1
    Google Chrome 55.0.2883.87 Google Chrome 55.0.2883.87 Windows 10 x64 Edition Windows 10 x64 Edition

    鸭子哥 你用的什么输入法(WIN7求推荐)

    zhaoxinguo8124个月前 (01-06)回复
    • Google Chrome 55.0.2883.87 Google Chrome 55.0.2883.87 Windows 10 x64 Edition Windows 10 x64 Edition

      去广告版的搜狗 蓝点网搜索搜狗输入法

      山外的鸭子哥4个月前 (01-06)回复
      • Google Chrome 55.0.2883.87 Google Chrome 55.0.2883.87 Windows 10 x64 Edition Windows 10 x64 Edition

        五笔有好用的吗

        zhaoxinguo8124个月前 (01-06)回复
    • Google Chrome 55.0.2883.87 Google Chrome 55.0.2883.87 Windows 10 x64 Edition Windows 10 x64 Edition

      之前搜狗下载的链接404了 已经重新更新了

      山外的鸭子哥4个月前 (01-06)回复
    • Firefox 45.0 Firefox 45.0 Windows 7 Windows 7

      win7用ime 2010就够了 日常使用基本够用 日文2010也比win7自带的好用

      中日双修4个月前 (01-06)回复