当前位置:首页-正文

流氓软件化身各种卫士 携带病毒对抗杀毒软件

相信几乎所有人都遇到过自己的电脑莫名其妙被安装了各种软件或修改浏览器主页的事儿,除了其他软件的捆绑或许那就是病毒在作祟了。

但你是否想过或许在刚安装好系统之后就已经被植入了病毒呢?事实上这种情况在国内也是相当相当常见的。

正如你所知道的各种Ghost系统、U盘启动工具、PE工具等,往往里面都已经被植入了各种乱七八糟的东西。

这也是蓝点网坚持安利大家使用纯净系统和PE工具的主要原因,下面来看看火绒发现的流氓化身卫士的勾当。

一、好好的系统无法安装各种安全软件

近期火绒接到用户反馈称无法安装火绒或其他品牌的杀毒软件,即使刚刚重装好的系统也无法进行正常安装。

经火绒实验室的排查发现用户的系统里存在多个SYS格式的文件,其中某个文件专门来阻断安全软件的安装。

除了火绒杀毒被阻断外,从下面的图片中我们可以看到几乎国内外所有的安全软件都会被直接阻挡禁止安装。

流氓软件化身各种卫士 携带病毒对抗杀毒软件

国内安全软件行业前几年的各种大战后现在基本上都可以互相兼容了,即使你愿意的话安装多个杀毒软件除了系统变卡外也可以正常运行。

也就是说这种阻断其他安全软件安装的事儿至少可以表明不是正常的杀毒软件干的,那么什么软件这么牛呢?

二、流氓软件化身卫士 标榜安全转身就是流氓

经过进一步排查后火绒实验室发现上述SYS文件属于名为浏览器卫士和铠甲卫士的软件,乍一看还挺正规的。

然而这两个软件标榜自己为用户提供安全服务,实际上却没有任何安全方面的功能,唯一有的就是锁定用户浏览器主页来获取网址导航网站的分成。

更加恶心的是当用户下载软件时也会被劫持,例如当你下载QQ浏览器时该卫士检测到后就会给你替换成带有推广标识的安装包,然后获得软件推广的分成。

除此之外该流氓软件还会在桌面生成诸如百度、淘宝、京东等返利链接,以此获得用户购买商品时的分成。

这两款流氓软件同时还会采取多种措施将自己写入注册表并开机自启动,禁止用户试图删除或禁止其启动。

流氓软件化身各种卫士 携带病毒对抗杀毒软件

就这样的软件至今仍然可以在互联网上公然传播、其主页上依然写着专注守护你的电脑安全,不知道他们看这句话自己会不会被恶心到。

流氓软件化身各种卫士 携带病毒对抗杀毒软件

三、为什么流氓能够进入用户的电脑

除了有用户主动前往流氓软件的主页下载安装流氓外,绝大部分都是被其他软件或系统直接进行捆绑的。

这也是为什么本文开头我们说要使用纯净的系统和U盘工具以及PE工具的原因,事实上流氓就是通过这种途径潜入用户的电脑的。

网上Ghost系统众所周知被捆绑了各种推广软件或者锁定了浏览器主页,更有甚至禁止用户卸载捆绑的软件或主页,当用户重启电脑后这些软件再次自动安装。

但Ghost系统本身存在版权原因不少流氓公司并不会直接提供这类系统,于是换个思路做U盘启动和PE工具。

正如本文提到的两款卫士,就是背后的公司利用其覆盖面较广的U盘和PE工具在用户装机时直接嵌入其中的。

这两款卫士的作者注册了多个U盘和PE类工具的域名,例如

  • www.bigbaicai.com
  • www.ushendu.net
  • www.laomaotaoupan.cn

事实上这三个域名也是常见的大白菜U盘工具、U深度和老毛桃相关的,并且这三个网站应该是全部山寨的。

虽然我们也不推荐使用上述三款工具(因为也存在捆绑),但经过仔细对比后我们认为这三个网站都应该是山寨那三款工具来进行传播流氓软件的(而非属于那三款工具)。

在某搜索相关关键词可以发现山寨网站的排名还是非常靠前的,因此用户中招的情况应该还是非常多的。

四、安全性推荐

如果你需要使用U盘工具或PE工具的话建议你还是使用干净的,例如以下几款:

除了使用干净的U盘工具和PE工具外也最好使用原版系统镜像而不要去找所谓的纯净系统,那都是骗人的。

有兴趣查看火绒实验室针对这两款流氓的详细分析请点击这里:流氓软件化身“卫士” 携带病毒对抗安全软件

本文来源蓝点网,由山外的鸭子哥转载或编译发布,如需转载请联系原作者。