虚拟机实战“百度杀毒”牌病毒

互相并肩

　　前几天看到讨论360、腾讯、百度谁最流氓的问题，我说我没有遇到过这些公司的捆绑。底下纷纷抱怨，提到百度的安全软件是最流氓的软件。我亲自在虚拟机中实验之后，彻底服了。

　　以下是本次实验的重现。

　　实验环境：Windows XP虚拟机，没有安装其他软件。请无视系统的浏览器是IE6，昨天在实验这个软件之后，重装了虚拟机，有的设置还没有做过。



　　现在在百度中搜索“QQ旋风”。



　　其他的腾讯系列软件以及一些常用软件均会显示这样的搜索结果。要么是高速下载以及普通下载的按钮，要么是让你勾选与不勾选“安装百度杀毒确保软件安全”。这里以“QQ旋风”为例。

　　现在打开这个网页的源文件。看屏幕显示的后半段内容。



　　稍微解释一下。“安装百度杀毒确保软件安全”这一行文字带有“checkbox”，“checkbox”是复选框的意思。如果这个复选框勾上，“立即下载”按钮所引用的文件地址是“href=”后面引号内的地址（也就是被百度捆绑的文件）。如果没有勾选复选框，“立即下载”按钮所引用的文件地址是“softurl=”后面引号内的地址（即正常的软件安装包）。也就是说，这个钩子是否勾上，决定了你下载到的是哪一个文件。

　　现在，分别下载这两个文件，以及腾讯官网上的文件，检验文件状态。



　　不勾选安装百度杀毒选项下载到的安装包和从腾讯官网上下载到的安装包，文件内容是一致的。文件大小为9.97M。



　　勾选安装百度杀毒选项下载到的安装包，文件大小为28.6M，明显超过正常的安装包，且文件名是不一样的。文件数字签名显示的是百度公司。左边为正常的安装包，数字签名显示的是腾讯公司。三个文件的图标是一模一样的。

　　正常文件的安装包在此就不进行测试了，直接测试被捆绑的安装包。





　　之后的步骤跟正常安装包的安装步骤完全一致。这个应该是先调用原版安装包完成正常的软件安装过程，再进行百度杀毒的安装。



　　现在可以看到，百度杀毒已经安装在虚拟机里了。现在开始卸载百度杀毒。



　　下面请注意那个绿色按钮上面所写的文字。



　　卸载和不卸载的按钮反了一下。



　  还是不想让我卸载百度杀毒。



　　可惜不是你，陪我到最后，曾一起走却上了那贼船。

　　但是还是你，霸占我的心，还能看到你在那。

　　（歌词改得不押韵，见谅。）



　　我看到了“再会”这两个字深深的恶意。



　　重启虚拟机，打开任务管理器，可以看到百度的进程依然存在。百度的下载器（图中高亮处）也在其中。



　　十多分钟的时间，我只是跑到真机里写一下配图图注而已啊，野生的百度杀毒又出现了！！

　　二话不说，卸！

　　重启虚拟机，在C盘里以“bd”为关键词进行搜索，大约有一半以上的文件是百度的文件，而且有的还是残留的备份！备份啊！



　　百度的文件在C盘里的各个角落啊，各个角落啊！这还怎么玩啊？！

　　这还只是XP系统的情况，至少还能直接删掉。从网上的反馈来看，从Windows7开始的系统在删除这些文件的时候都会提示没有权限操作啊，只能重启引导进入PE系统后再删除。



　　非常奇怪的是，系统的配置程序与注册表中均看不到百度的任何开机启动项。

　　既然如此，看来我需要使用大招了。

　　载入系统光盘，重启，安装精简克隆版。



　　再见。oh，不，再也不见。百度杀毒，能滚多远就滚多远。


　　没空的人

　　2014年12月21日

hikehiking

好恐怖啊。。。我以前唯一一次中的杀软是金山毒霸

lincrbe

某数字准备推百度病毒专杀工具了
坐等看戏

1094947421

支持测试，此病毒要上报各大。

Flameocean

坐等一大波几十分和100多分的马甲来袭

hdzhonghai

刚刚中招了，忽然右下角弹出一个小框，然后自动开始安装，被金山拦下了。这么久以来第一次感觉金山这么好用

fuzhk

vse规则禁止任何服务和启动项创建，对付这玩意不知行不行。

lastpass

可惜不是你，陪我到最后，曾一起走却上了那贼船。

　　但是还是你，霸占我的心，还能看到你在那。

笑尿了

Q_Wxin

楼主给力，

芊芊细手

Flameocean 发表于 2014-12-23 18:43
坐等一大波几十分和100多分的马甲来袭

就像楼主这样的？