国内的杀软为什么这么仁慈？

Eif-Hill

在这个帖子：https://bbs.kafan.cn/thread-2109945-1-1.html
之前以为是不是360和这些adware有神马不可告人的py交易，原来too young to simple，一众国内的杀软（360 total、火绒、腾讯安全管家；金山，瑞星只杀少部分）都对这些垃圾都一个鸟样。哎！国产杀软，技术不好好搞，一个个UI倒是弄得有多花哨就多花哨，一个个浓眉大眼，想不到·······我不知道有以下行为的软件，应该如何定义？？？
1、诱导用户安装非目标软件
2、篡改大部分用户安装有的浏览器主页
3、篡改部分浏览器默认搜索
4、添加非法站点lnk（如：网上博彩这类明文禁止的非法站点）

5、修改系统关键注册表位置
6、其他可疑非正常软件行为
注：其他这类软件更多危险行径可以参阅金山的 https://bbs.kafan.cn/thread-2110035-1-1.html

样本，https://pan.baidu.com/s/1boUW8Uj      提取码：bx93
解压：virus


由于是测试是在11月测的，现在情况可能有些不同，之前没时间发

随便测了一下（全程选择杀软的默认设置，安装默认，拦截方式默认），成果如下（由于这些下载器的每次行为可能有所不同，结果可能有所差异）


测试顺序：
右键扫描文件，提示有问题就杀，没问题就直接点击
然后一路点击下去，期间杀软提示杀就杀，提示阻止就阻止，否则就一路点击
所有样本测试完成，就进行一次快速扫描
注：
1、虚拟机环境测试，os：win7 sp1 msdn 旗舰
2、测试杀软皆来源于官网的离线安装包
3、每次只测试一个杀软，测试完，则恢复虚拟机快照

1、360（卫士+杀毒）
首先喷一下360安全卫士的安全的安装可选项，主页防护选项如果勾选，则默认启用360导航页作为主页，而不勾选则不防护
战绩：
样本全部放行（即全部报：安全，不含有未知）
下载器在下载推广软件没有任何反应（不阻断后面被默认拦截的软件的下载），在安装部分的推广软件时，少部分被默认拦截，但是绝大部分还是成功安装
博彩类lnk成功在桌面创建成功
最为搞笑的就是，在测试完所有的样本后，选择进行快速查杀检查情况时，360居然在狂报whale浏览器（联想之前360对七星，cent），我就不得不呵呵了！国内那一票流氓软件刷刷的捆绑上去，不报不阻断，对创建问题的lnk，不阻断其创建进程，不杀其创建的本体进程，却在狂报一个正常的浏览器（而且被纳入：高危，其他更恶劣的行径纳入异常）


2、金山
样本右键扫描杀一
下载下载捆绑软件，不阻断，几乎不拦截捆绑的软件和游戏，拦截部分流氓危险位置的操作
部分拦截创建博彩lnk
不拦截导航lnk创建
部分浏览器的主页被篡改
测试完后的快速扫描


3、腾讯管家
样本全部都不杀
篡改主页拦截成功
仅阻止少量的捆绑安装
对捆绑安装程序不报其中可疑组件
创建恶意url，导航推广、博彩成功
全部测试，不报博彩
日志不全



4、火绒
样本全部不杀
下载器下载捆绑软件不阻止，火绒（默认设置）全程默认阻止所有捆绑软件的安装（简单粗暴）
阻止部分危险位置写入（主页、系统关键位置）
浏览器主页被篡改（推广导航）（火绒浏览器保护默认不开启主页保护）
博彩lnk完全不报（创建过程不拦截，事后也不查杀）




5、瑞星
样本扫描杀掉两个
拦截查杀部分捆绑软件/游戏，绝大部分捆绑软件成功安装
拦截部分捆绑软件的部分组件
桌面创建部恶意lnk快捷方式成功 博彩成功创建
全部测试后，
查杀对篡改主页、添加恶意lnk不报


注：查杀图忘了截了（瑞星有详细日志，可看附件）

日志：

Eif-Hill

火绒工程师 发表于 2017-12-18 12:07
火绒对国内常见的下载器是这样处理的：下载器本身不报毒（除非下载器自己就是病毒，例如：百度hao123下载站 ...

完完全全的objection！objection！objection！

主要原因是，如果要对“下载器”报毒的话，那么用户也就没办法到自己想要的软件，因为很多下载站在用户下载所有想要的软件前都要先下载“下载器”。（直白点：武断的直接对下载器报毒，用户将无法从下载站下载自己想要的软件）

1、从各种下载站下载文件是不需要所谓的“下载”的支持，以百度搜索“软件下载”排名前4（除开百度软件站），zol，华军、太平洋、下载吧四个站为例，完全不需要所谓的“下载器”才能获得真实的所需的软件

四个站点均设置了对普通用户具有较强诱惑以及欺骗效果的所谓“高速下载”并放置在真实下载地址前，对字体大小颜色进行优化以增强其多对用户注意力和欺骗性，而对真实的下载地址进行淡化处理
从“高速下载”位置下载的文件完全就是adware
2、为了增强“欺骗”的效果，某站更是



除了这些下载地址旁的陷阱，下载站还在各处放置的所谓“高速下载”,金山https://bbs.kafan.cn/thread-2110035-1-1.html的这个案例完全和这类东东如出一辙



以上各种，无非都是尽可能让那些不熟悉PC的用户掉入陷阱，最终被被无数的垃圾捆绑

Eif-Hill

f59375443 发表于 2017-12-19 15:15
讨论的前提是用户是小白
然后一个小白看着那么大的箭头，你猜他们会怎么做？

这还用什么猜不猜，这些陷阱摆明就是坑那些“小白用户”，这个时候就是需要安全软件发挥作用的时候
以eset为例，直接拦截窗口
国内的这些所谓的杀软完全可以参照修正（以适应国情）
1、警示用户所下载的文件为潜在捆绑软件
2、引导用户获取安全的软件（例如360、腾讯之类的就有自己的软件下载库；亦或者提供下载文件的官网地址）
3、提供一下警示提示“不建议”，但同时提供用户继续下载文件的权利（既然用户选择继续了，那么主要出问题的责任在用户）
诸如此类的安全提醒辅助



而不是像现在这一堆国产杀软除了袖手旁观（甚至不敢标注这类adware为：安全性未知），一路为这些垃圾进入用户的电脑开绿灯
用户访问什么网站不重要，重要的是用户安装杀软是为了安全，不是为了占用内存，占用cpu、拖慢开机速度，弹窗提示购物、天气
而当用户访问潜在危险网站时，危险进入用户的电脑时，这些所谓的杀软一点作用都起不到

你自己去那些来路不明的小网站下载，又能怪谁呢？

这个测试本来就是模拟“小白用户”的操作行为，而类似zol 、onlinedown这些大型站点在百度搜索软件相关的关键字中通常都是排在前列的，小白用户难免会选择在这些网站上下载文件，那么掉入陷阱的几率就极高，而在普通用户群体占有率极高国内杀软的作为呢！？

Eif-Hill

占楼--等编辑

zmyx279323199

拦截了会被围攻

ddxuchen

我大清国情如此啊

chenke2xxx

现在那些有名有姓的下载站，在真实下载地址都只给你下载器文件下载了，以前还只是诱导。下载后安装就一堆捆绑，这么多安全软件也不管，就是因为那些人背后就是黑恶势力，杀软公司也惹不起。

ATP_synthase

火绒还是比较让我失望了

ttdown

国产现状就是天下乌鸦一般黑！

浮空墓碑

wusiyuanjh 发表于 2017-12-17 19:31
火绒还是比较让我失望了

火绒的策略是不处理下载器，但拦截已知捆绑行为。

火绒工程师

火绒对国内常见的下载器是这样处理的：下载器本身不报毒（除非下载器自己就是病毒，例如：百度hao123下载站当时的投毒事件）而对下载器要捆绑的软件进行“软件安装拦截提示“。

主要原因是，如果要对“下载器”报毒的话，那么用户也就没办法到自己想要的软件，因为很多下载站在用户下载所有想要的软件前都要先下载“下载器”。（直白点：武断的直接对下载器报毒，用户将无法从下载站下载自己想要的软件）

火绒对下载器捆绑的软件一直在关注，如有漏拦截的文件，我们会增加测试周期并且会及时跟进处理的~

蜀山小剑侠

感谢楼主亲测分享，楼主辛苦了。国情如此啊，现在下载一个软件不容易啊，就连太平洋、中关村、华军软件园、新浪网等等都是这样，诱导下载其它软件和下载器！也没有人去管！