一直被模仿
从未被超越

避免被下载器套路,火绒新增下载器拦截功能

相信很多人都遇到过下载软件打开后,却莫名其妙发现是一个下载器的情况,抱着试试的想法点击运行,不仅可能没有得到想要的软件,还极有可能会捅了“流氓窝”:软件推广、广告弹窗、桌面快捷方式等等涌向电脑,甚至还携带了病毒到本地执行,令人苦不堪言。

火绒也收到过很多用户遭遇下载器流氓行为的求助,我们也推过不少披露关于“下载器”的报告。至此,我们再次将“下载器”流氓行径、特点、传播渠道等一一梳理曝光,提醒广大用户,并配合推出专门拦截此类流氓“下载器”的功能,希望能帮助大家免受侵扰。(【访问控制】-【程序执行控制】-点击开启按钮即可开启)

萝卜哥也曾经收到下载器厂商的“热情邀请”,希望萝卜哥能参加他们的推广,不过被萝卜哥一口回绝了。

一、购买搜索排名

当我们需要下载软件时,会通过搜索引擎对软件进行搜索,之后找到相应软件的下载地址进行下载。

但是,通常我们在搜索结果中所看到的下载链接,大部分均为下载站链接。例如,我们以下载网易云音乐为例,相关搜索后结果如下图所示:

可以看到,在第一页的搜索结果中,10条有8条(红框标注部分)甚至排名第一位的都是第三方下载器平台的下载链接,普通用户稍不注意就会落入了下载器的广告推广套路之中。

二、通过下载站传播

我们以太平洋下载中心为例,点击此链接后,来到如下界面,如下图所示:

当看到“本地下载”和“可以提速50%”的高速下载时,没有经验的普通用户往往为了提升下载速度,选择高速下载。

但高速下载并不会直接下载下来所需软件,而是下载了一个下载器。一旦点击运行,就会面临各种流氓行为的侵扰(下方有具体描述)。

这些下载站的高速下载器有两个特点:

一是同一下载站中的不同软件高速下载器文件内容完全相同。这意味着用户在该下载站下载执行任何一款软件,都会面临相同的流氓广告推广行为。

以下载如下三个常用软件为例,可见最终得到的下载器hash完全相同。如下图所示:

国内此类下载站众多,常见的软件下载网站如下图所示:

二是不同下载站也会使用相同一套高速下载器程序。这又表明用户即便换一个下载站,还是会面临上述风险。

以文件描述信息为“智能下载器”为例,相关信息如下图所示:

使用该“智能下载器”的下载站共有36家下载站,相关下载站如下图所示:

以太平洋下载站的智能高速下载器为例,界面软件推广配置及界面如下图所示:

常见下载器推广软件汇总信息如下图所示:

三、仿冒官网进一步传播

另外,一些无良下载站甚至会假冒软件官网传播下载器。不久前,火绒安全团队收到用户反馈,称在火绒“官网”下载的火绒安装包会捆绑安装其他软件。我们调查后发现,用户访问的网站并非真正的火绒官网,而是极具欺骗性的“李鬼”火绒官网。

该网站盗用了“火绒3.0”的Logo,并自称“官方免费版”,非常像一个独立软件的官网,所以不熟悉火绒的人极易相信这就是火绒的官方网站,从而点击下载。

诸如此类的“李鬼”官网会提供多种下载方式,然而无论用户选择何种下载方式,都指向的是相同的下载器,且具备与下载站下载器相同的危害。

四、下载器的流氓行为

通常情况,这些下载器的程序图标和界面大致相同,运行后极有可能进行软件推广、桌面广告弹窗、右下角广告弹窗、托盘图标闪烁、添加网页收藏链接、创建桌面快捷方式等流氓行为,有的下载器甚至还会静默推广软件,下载锁首病毒到本地执行。

其中,包括托盘图标闪烁、添加网页收藏链接等推广方式让用户难以取消或发现。

盘图标闪烁是一种比较典型的下载器流氓行为,它不具有直接的关闭按钮,除非用户通过进程管理器关闭下载器进程,否则只能手动点击,等待浏览器自动打开广告链接,最后关闭浏览器。相关现象如下图所示:

同样,添加网页收藏链接是下载器常见的流氓行为,相关现象如下图所示:

更过分的是,此类下载器服务端通常会根据用户所在地区下发不同的配置,其中包括下载器的界面配置和推广配置,从而实现同一下载器执行不同的推广策略。

同一下载器的在不同地区进行执行,得到的界面如下图所示:

此外,还有更精准的,从不同地区请求的推广配置信息也有所不同,其中包括了各种广告和软件推广的配置信息。

五、火绒新增拦截下载器功能

下载站与下载器的流氓的商业行为对不了解互联网的普通用户非常不友好,我们也经常收到用户关于此类问题的求助。随着流量变现的多样化发展,第三方软件下载站平台会层出不穷,流氓手段也会花样繁多。大家平时在下载软件的时候,一定要前往正规的官网下载。

为了能帮助大家避免遇到该问题,我们在新版的火绒安全客户端中新增加了针对于此类”高速下载器”的拦截功能,您可以在【访问控制】-【程序执行控制】中,手动选择开启此功能开关(默认关闭),从而拦截此类程序的执行。相关开关及其现象如下图所示:

赞(53)
转载请注明出处:胡萝卜周博客 » 避免被下载器套路,火绒新增下载器拦截功能
分享到: 更多 (0)

评论 12

评论前必须登录!

 

  1. #9
    WebView 4.0 WebView 4.0 Android 7.1.1 Android 7.1.1

    垃圾移动网还是打不开网站….,只能先用萝卜大大的新域名访问了

    Flutter2个月前 (04-06)
  2. #8
    Google Chrome 80.0.3987.163 Google Chrome 80.0.3987.163 Windows 10 x64 Edition Windows 10 x64 Edition

    前天一个下载器给我乱下载软件,删都删不掉!!!

    6lishuo62个月前 (04-06)
  3. #7
    Google Chrome 80.0.3987.163 Google Chrome 80.0.3987.163 Windows 10 x64 Edition Windows 10 x64 Edition

    怪不得我使用*****软件 在点开下载器就不一样

    qwerty123456_2个月前 (04-06)
  4. #6
    Google Chrome 80.0.3987.122 Google Chrome 80.0.3987.122 Windows 10 x64 Edition Windows 10 x64 Edition

    这种死马下载器把我家人坑惨了,就因为下载了乱七八糟的东西我都给家里电脑重装了好多次系统了

    7241577302个月前 (04-06)
  5. #5
    Google Chrome 80.0.3987.87 Google Chrome 80.0.3987.87 Windows 10 x64 Edition Windows 10 x64 Edition

    司马移动还没接触网站的封禁吗

    z100562个月前 (04-05)
    • Google Chrome 80.0.3987.163 Google Chrome 80.0.3987.163 Windows 10 x64 Edition Windows 10 x64 Edition

      估计永远也不会解封了

      萝卜2个月前 (04-05)
    • Google Chrome 80.0.3987.163 Google Chrome 80.0.3987.163 Windows 10 x64 Edition Windows 10 x64 Edition

      裸连太慢

      qwerty123456_2个月前 (04-06)
  6. #4
    Google Chrome 69.0.3497.100 Google Chrome 69.0.3497.100 Windows 10 x64 Edition Windows 10 x64 Edition

    我的访问控制和你的长得不太一样啊,是不是版本没有更新?

    tianlang_022个月前 (04-05)
    • Google Chrome 80.0.3987.163 Google Chrome 80.0.3987.163 Windows 10 x64 Edition Windows 10 x64 Edition

      可能是,请更新到最新版

      萝卜2个月前 (04-05)
  7. #3
    Maxthon 4.0 Maxthon 4.0 Windows XP Windows XP

    支持萝卜

    codeqq2个月前 (04-05)
  8. #2
    Opera 12.14 Opera 12.14 Windows Vista Windows Vista

    现在打的部分下载器太恶心啦

    14253692个月前 (04-05)
  9. #1
    Google Chrome 78.0.3904.108 Google Chrome 78.0.3904.108 Windows 10 x64 Edition Windows 10 x64 Edition

    这个功能终于出来了,自己一般不会被坑,家里人不懂得整一个

    hhzzsw2个月前 (04-04)