火绒安全：2015中国大陆地区PC互联网安全报告

　　图3.5列举了火绒拦截到的国内某净网软件的推广安装行为。

图3.5、国内某净网软件的静默推广行为

　　在Google中索搜上图中的进程名logo_a1-chou.exe得到图3.6所示信息。

图3.6、Google搜索logo_a1-chou.exe得到的相关信息

　　根据用户的反馈，我们在用户现场提取到了logo_a1-chou.exe的病毒下载器脚本，随后火绒将其检测为TrojanDownloader/VBS.Steamto.b。在接下来得到的对该病毒脚本的拦截日志中，我们得到了图3.7和图3.8的数据：

图3.7、某净网软件生成病毒下载器脚本时被火绒实时监控拦截

图3.8、某净网软件运行病毒下载器脚本时被火绒实时监控拦截

　　通过上面的拦截数据，可以看出该软件首先通过系统的命令行程序cmd.exe创建一段VBS脚本并通过cscript.exe运行该VBS脚本下载logo_a1-chou.exe(TrojanDownloader/VBS.Steamto.b病毒)，接下来logo_a1-chou.exe负责静默推广。

　　当然，仅通过进程关系无法完全断定上述行为是该软件主动发起还是被(病毒作者或触发漏洞)利用。如果属于前者，则该软件的行为已经符合安全软件对下载器木马的定义;若属于后者，那么该软件厂商有责任在技术上对此类问题进行分析、处理并告知用户。

　　“全家桶”式推广

　　很多用户都有过这样的经历，安装了某公司的A软件后，一段时间后机器上莫名其妙的出现了这个公司的B、C、D等其他软件产品。这种推广行为被用户形象地称为“全家桶”式推广。

　　这里截取了最典型的国内某互联网公司的“全家桶”式推广行为，根据火绒安全情报分析系统的统计，每天有接近10%的用户被该公司的游戏客户端推广安装其自家的安全客户端软件。

图3.9、国内某游戏软件推广安装自家安全客户端软件

　　伪装式推广

　　本质上来说，这是电脑病毒常用的伪装手段。

　　一些软件为保证被推广安装时的成功率，躲避安全软件的安装拦截，选择随机路径进行安装。图3.10显示的是国内某知名安全软件的随机推广安装路径，当此软件的托盘程序篡改IE浏览器首页时被火绒拦截。

图3.10、国内某安全软件的随机推广安装路径

　　· 商业软件牟利中的侵权行为

　　带“尾巴”的浏览器快捷方式

　　根据火绒安全情报分析系统的统计数据，每天有10%的用户被浏览器快捷方式被篡改。当用户通过被攒改的快捷方式启动浏览器时，浏览器可以正常运行，但首页则指向了被篡改的地址，通常是可以进行流量变现的导航站。这种篡改极具隐蔽性，当火绒拦截到此类篡改并提示用户清除(修复)时，5成以上的用户甚至认为是误报，进而选择忽略甚至信任。

　　图3.11列举了部分被篡改的快捷方式命令行，从图中我们可以看到，不仅仅是IE、360SE、QQBrowser等高频应用，甚至包括Opera、Firefox等浏览器均遭到劫持。

图3.11、常见浏览器首页均遭劫持

　　IE首页篡改

　　IE首页一直是流量劫持的焦点，从火绒安全情报分析系统的统计数据来看，每天有超过8%的用户IE首页被篡改。篡改者五花八门，在有限的篇幅内，我们只列举其中几个典型案例。

图3.12、国内Windows激活”补丁“篡改IE首页

图3.13、外{过}{滤}挂等工具类程序篡改IE首页

图3.14、某知名播放器软件篡改IE首页

图3.15、某知名安全软件在卸载时仍要篡改IE首页

　　软件对攻，把用户电脑当战场抢夺资源

　　抢夺资源

（编辑：浙我家）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!