查看: 5002|回复: 28
收起左侧

[讨论] 国内的杀软为什么这么仁慈?

[复制链接]
Eif-Hill
头像被屏蔽
发表于 2017-12-17 16:51:13 | 显示全部楼层 |阅读模式
本帖最后由 Eif-Hill 于 2017-12-17 17:06 编辑

在这个帖子:https://bbs.kafan.cn/thread-2109945-1-1.html
之前以为是不是360和这些adware有神马不可告人的py交易,原来too young to simple,一众国内的杀软(360 total、火绒、腾讯安全管家;金山,瑞星只杀少部分)都对这些垃圾都一个鸟样。哎!国产杀软,技术不好好搞,一个个UI倒是弄得有多花哨就多花哨,一个个浓眉大眼,想不到·······我不知道有以下行为的软件,应该如何定义???
1、诱导用户安装非目标软件
2、篡改大部分用户安装有的浏览器主页
3、篡改部分浏览器默认搜索
4、添加非法站点lnk(如:网上博彩这类明文禁止的非法站点)

5、修改系统关键注册表位置
6、其他可疑非正常软件行为
注:其他这类软件更多危险行径可以参阅金山的 https://bbs.kafan.cn/thread-2110035-1-1.html

样本,https://pan.baidu.com/s/1boUW8Uj      提取码:bx93
解压:virus


由于是测试是在11月测的,现在情况可能有些不同,之前没时间发

随便测了一下(全程选择杀软的默认设置,安装默认,拦截方式默认),成果如下(由于这些下载器的每次行为可能有所不同,结果可能有所差异)


测试顺序
右键扫描文件,提示有问题就杀,没问题就直接点击
然后一路点击下去,期间杀软提示杀就杀,提示阻止就阻止,否则就一路点击
所有样本测试完成,就进行一次快速扫描
注:
1、虚拟机环境测试,os:win7 sp1 msdn 旗舰
2、测试杀软皆来源于官网的离线安装包
3、每次只测试一个杀软,测试完,则恢复虚拟机快照

1、360(卫士+杀毒)
首先喷一下360安全卫士的安全的安装可选项,主页防护选项如果勾选,则默认启用360导航页作为主页,而不勾选则不防护
战绩:
样本全部放行(即全部报:安全,不含有未知)
下载器在下载推广软件没有任何反应(不阻断后面被默认拦截的软件的下载),在安装部分的推广软件时,少部分被默认拦截,但是绝大部分还是成功安装
博彩类lnk成功在桌面创建成功
最为搞笑的就是,在测试完所有的样本后,选择进行快速查杀检查情况时,360居然在狂报whale浏览器(联想之前360对七星,cent),我就不得不呵呵了!国内那一票流氓软件刷刷的捆绑上去,不报不阻断,对创建问题的lnk,不阻断其创建进程,不杀其创建的本体进程,却在狂报一个正常的浏览器(而且被纳入:高危,其他更恶劣的行径纳入异常


2、金山
样本右键扫描杀一
下载下载捆绑软件,不阻断,几乎不拦截捆绑的软件和游戏,拦截部分流氓危险位置的操作
部分拦截创建博彩lnk
不拦截导航lnk创建
部分浏览器的主页被篡改
测试完后的快速扫描


3、腾讯管家
样本全部都不杀
篡改主页拦截成功
仅阻止少量的捆绑安装
对捆绑安装程序不报其中可疑组件
创建恶意url,导航推广、博彩成功
全部测试,不报博彩
日志不全



4、火绒
样本全部不杀
下载器下载捆绑软件不阻止,火绒(默认设置)全程默认阻止所有捆绑软件的安装(简单粗暴)
阻止部分危险位置写入(主页、系统关键位置)
浏览器主页被篡改(推广导航)(火绒浏览器保护默认不开启主页保护)
博彩lnk完全不报(创建过程不拦截,事后也不查杀)




5、瑞星
样本扫描杀掉两个
拦截查杀部分捆绑软件/游戏,绝大部分捆绑软件成功安装
拦截部分捆绑软件的部分组件
桌面创建部恶意lnk快捷方式成功 博彩成功创建
全部测试后,
查杀对篡改主页、添加恶意lnk不报


注:查杀图忘了截了(瑞星有详细日志,可看附件)

日志:





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Eif-Hill
头像被屏蔽
 楼主| 发表于 2017-12-18 15:54:53 | 显示全部楼层
火绒工程师 发表于 2017-12-18 12:07
火绒对国内常见的下载器是这样处理的:下载器本身不报毒(除非下载器自己就是病毒,例如:百度hao123下载站 ...

完完全全的objection!objection!objection!
主要原因是,如果要对“下载器”报毒的话,那么用户也就没办法到自己想要的软件,因为很多下载站在用户下载所有想要的软件前都要先下载“下载器”。(直白点:武断的直接对下载器报毒,用户将无法从下载站下载自己想要的软件)
1、从各种下载站下载文件是不需要所谓的“下载”的支持,以百度搜索“软件下载”排名前4(除开百度软件站),zol,华军、太平洋、下载吧四个站为例,完全不需要所谓的“下载器”才能获得真实的所需的软件

四个站点均设置了对普通用户具有较强诱惑以及欺骗效果的所谓“高速下载”并放置在真实下载地址前,对字体大小颜色进行优化以增强其多对用户注意力和欺骗性,而对真实的下载地址进行淡化处理
从“高速下载”位置下载的文件完全就是adware
2、为了增强“欺骗”的效果,某站更是



除了这些下载地址旁的陷阱,下载站还在各处放置的所谓“高速下载”,金山https://bbs.kafan.cn/thread-2110035-1-1.html的这个案例完全和这类东东如出一辙



以上各种,无非都是尽可能让那些不熟悉PC的用户掉入陷阱,最终被被无数的垃圾捆绑

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Eif-Hill
头像被屏蔽
 楼主| 发表于 2017-12-19 15:51:06 | 显示全部楼层
本帖最后由 Eif-Hill 于 2017-12-19 15:54 编辑
f59375443 发表于 2017-12-19 15:15
讨论的前提是用户是小白
然后一个小白看着那么大的箭头,你猜他们会怎么做?

这还用什么猜不猜,这些陷阱摆明就是坑那些“小白用户”,这个时候就是需要安全软件发挥作用的时候
以eset为例,直接拦截窗口
国内的这些所谓的杀软完全可以参照修正(以适应国情)
1、警示用户所下载的文件为潜在捆绑软件
2、引导用户获取安全的软件(例如360、腾讯之类的就有自己的软件下载库;亦或者提供下载文件的官网地址)
3、提供一下警示提示“不建议”,但同时提供用户继续下载文件的权利(既然用户选择继续了,那么主要出问题的责任在用户)
诸如此类的安全提醒辅助



而不是像现在这一堆国产杀软除了袖手旁观(甚至不敢标注这类adware为:安全性未知),一路为这些垃圾进入用户的电脑开绿灯
用户访问什么网站不重要,重要的是用户安装杀软是为了安全,不是为了占用内存,占用cpu、拖慢开机速度,弹窗提示购物、天气
而当用户访问潜在危险网站时,危险进入用户的电脑时,这些所谓的杀软一点作用都起不到

你自己去那些来路不明的小网站下载,又能怪谁呢?

这个测试本来就是模拟“小白用户”的操作行为,而类似zol 、onlinedown这些大型站点在百度搜索软件相关的关键字中通常都是排在前列的,小白用户难免会选择在这些网站上下载文件,那么掉入陷阱的几率就极高,而在普通用户群体占有率极高国内杀软的作为呢!?



Eif-Hill
头像被屏蔽
 楼主| 发表于 2017-12-17 16:53:08 | 显示全部楼层
占楼--等编辑
zmyx279323199
头像被屏蔽
发表于 2017-12-17 17:21:18 来自手机 | 显示全部楼层
拦截了会被围攻
ddxuchen
发表于 2017-12-17 18:59:29 | 显示全部楼层
我大清国情如此啊
chenke2xxx
发表于 2017-12-17 19:02:43 | 显示全部楼层
现在那些有名有姓的下载站,在真实下载地址都只给你下载器文件下载了,以前还只是诱导。下载后安装就一堆捆绑,这么多安全软件也不管,就是因为那些人背后就是黑恶势力,杀软公司也惹不起。
ATP_synthase
发表于 2017-12-17 19:31:53 | 显示全部楼层
火绒还是比较让我失望了
ttdown
发表于 2017-12-17 20:19:02 | 显示全部楼层
国产现状就是天下乌鸦一般黑!
浮空墓碑
发表于 2017-12-18 02:06:02 | 显示全部楼层
wusiyuanjh 发表于 2017-12-17 19:31
火绒还是比较让我失望了

火绒的策略是不处理下载器,但拦截已知捆绑行为。
火绒工程师
发表于 2017-12-18 12:07:01 | 显示全部楼层
火绒对国内常见的下载器是这样处理的:下载器本身不报毒(除非下载器自己就是病毒,例如:百度hao123下载站当时的投毒事件)而对下载器要捆绑的软件进行“软件安装拦截提示“。

主要原因是,如果要对“下载器”报毒的话,那么用户也就没办法到自己想要的软件,因为很多下载站在用户下载所有想要的软件前都要先下载“下载器”。(直白点:武断的直接对下载器报毒,用户将无法从下载站下载自己想要的软件)

火绒对下载器捆绑的软件一直在关注,如有漏拦截的文件,我们会增加测试周期并且会及时跟进处理的~

评分

参与人数 2人气 +2 收起 理由
MJ君 + 1 认可!
神龟Turmi + 1

查看全部评分

蜀山小剑侠
头像被屏蔽
发表于 2017-12-18 13:01:12 来自手机 | 显示全部楼层
感谢楼主亲测分享,楼主辛苦了。国情如此啊,现在下载一个软件不容易啊,就连太平洋、中关村、华军软件园、新浪网等等都是这样,诱导下载其它软件和下载器!也没有人去管!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-28 04:06 , Processed in 0.134058 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表