揭秘下载网站的欺诈伎俩
2018-07-28我们来揭晓这个StartPage.XX系列到底是一种什么样的病毒,下载站诱使访问者下载的这些“软件”里到底有什么玄机呢?上图是从某知名下载站下载一款IE辅助工具获得的三个文件,其中最显眼的文件当然是“先运行该文件.exe”,出于对这类下载站点的信任,大多数用户恐怕会毫不犹豫的点击它。我们看看点击它会发生什么。
如上图,双击该文件,那款IE辅助工具无提示安装,同时桌面上释放“源码下载”,“软件下载”两个快捷方式,其中“软件下载”是指向该下载站。如果说这种建一个快捷方式宣传其站点是一种性质还比较“善良”广告,那我们接下来介绍的这类“软件”就比较凶狠了。
如图,这同样是从该下载站所下载的某网络电视播放软件,在该站同类软件下载数量排行榜中高居第二。左上角的123.exe即是所下载的软件安装包,右边的文件是从该安装包里解压出来的文件,安装包将会把这些文件释放到用户电脑中。经常安装各类软件的网民恐怕已经看出问题的端倪了,这些文件中除去ico图标文件外,有大量的快捷方式,vbs脚本,而正常软件安装包所释放的文件大部分应该是exe和dll文件。
这个“安装包”在桌面上释放上图我们所列出的快捷方式,如上图所示,真正的IE桌面项已经被删除,桌面上4个与IE很相似的快捷项均是“安装包”所释放,与假qq快捷方式类似,这些假IE指向的是system32目录下的URL链接。
假qq快捷方式指向的systemqq.vbs中代码:
createobject(”wscript.shell”).run ”C:\WINDOWS\system32\good.exe”,0
即运行good.exe,而这个good.exe往往就是真正的安全威胁,可能是某类盗号木马或者恶意后门。
假IE指向system32\Internet Exporer.Url链接,再看看它是干嘛的。
看到这里,一些常为IE主页被锁定而烦恼的朋友一定会明白了,为什么自己每次打开IE,主页却不是设置的那个了吧。是的,每当你点击桌面上那些假的IE时,就会自动打开如上图中这类网站。这些网站可能只是普通的导航类站点,但也很有可能被精心设计过,存在挂马、欺诈等威胁的恶意站点。访问量越大,这类站点所获取的收益就越有保障。作者们因而在各大下载站点大力”推广”.
金山毒霸将对这类下载中存在的安全威胁持续关注。同时提醒用户,下载软件时选择信誉有保障的大站点,用杀毒软件扫描所下载文件,是对抗这类威胁最有效的办法。已中招的用户可以通过金山急救箱来修复被篡改的主页,金山急救箱针对这类威胁提供了专用解决方案。