事实证明,开启UAC控制能避免不少流氓软件的安装...
XP已经去了,现在大家使用的Windows系统几乎都是7/8/8.1,在这些操作系统中,都含有一项名为“用户账户控制(UAC)”的选项。在安装某些软件、或执行某些操作时,UAC会弹窗提示,用户确认后才能继续执行操作。
绝大多数网友都是开启这个功能的,默认也是开启状态的,但有少数网友认为开启后麻烦,每次需要运行一个软件,都需要确认。在Windows 8/8.1中,完全关闭UAC后Metro应用是无法打开的,另外,给大家举个昨天晚上我测试的例子。
昨天晚上,我发现蓝点网QQ交流群中某群友上传了一份压缩包,名称是什么VPN的,大小仅仅为96kb,当时我一看到,立马下载并删除了那个文件,因为我相信那绝对不是好东西。所以删除前下载了一份作为测试。
在下载时,QQ已经提醒有毒,不要下载,当然,咱是直接忽略它的,继续下载,很顺利,我没有安装其他杀毒软件,就一个windows defender,它并没有报毒,打开压缩包后发现里面就一个dll和exe文件,并且exe文件是有签名的,签名显示这个属于4399小游戏的,这么一看,是不是放心了,4399大家都知道嘛,还有数字签名...
96kb,实在让人怀疑,虚拟机挂了,没法开,也没沙盒,只能直接在我电脑上测试了,打开任务管理器,打开网络和共享中心,然后开始运行那个exe,一点击,提示错误,桌面上的exe和dll都消失了,然后UAC弹窗提示安装什么游戏,当然拒绝,刚点否,又弹窗安装另外的游戏...立马我在网络和共享中心把网卡禁用,网络断开了,他没法下载了,任务管理器看看,十几个进程,在疯狂安装一堆程序...
然后就手动结束那些进程了,拆包,发现exe其实就是个静默安装器,一点开按照里面预设的内容疯狂下载安装各种乱七八糟的东西,exe还是带4399小游戏的数字签名的。。。windows defender 也没有警告。最后还是靠UAC提醒安装乱七八糟的东西了。
还有消失的dll和exe,找了半天自己跑到local/temp里去了,并在此文件夹下多了三个很明显的流氓软件包:setup_3219-1167.exe、wuzun-zm-162057-v6.exe、setup_t10190.exe,这些软件包部分也是带数字签名的。
完了已经1点了,下了个腾讯电脑管家全盘查杀一遍,还清理出几个被标记为广告软件的“病毒”,其实现在想想,像这种静默安装器捆绑下载一堆软件,如果安装了第三方杀毒软件,我估计应该在点击那个exe时就会被干掉,比如什么诺顿、卡巴斯基还有国内的腾讯电脑管家、360安全卫士、百度卫士什么的等等,这一点我觉得点赞啊..
在此提醒各位:不要关闭UAC(某wifi共享软件会私自关闭UAC)、不要下载来路不明的可执行程序、如果有必要的话,建议还是安装个第三方安全软件、要测试还是虚拟机测试的好,物理机测试真心伤不起。。。