最大的恶意软件反查杀测试平台 AVCheck.net 被警方查封

黑夜豹走

    通过 CAV（反杀毒）服务，恶意软件开发者可以测试他们的恶意软件是否会被各种杀毒程序检测到。使用 CAV 服务是部署恶意软件不可或缺的一步，尤其是在获取受害者网络的初始访问权限时。网络犯罪分子需要知道他们的恶意软件是否会被病毒扫描程序检测到。如果恶意软件未被检测到，就可以被部署以在不被察觉的情况下制造新的受害者。因此，像 AVCheck 这样的 CAV 服务在网络犯罪生态系统中扮演着至关重要的促进作用。

荷兰、美国和芬兰警方合作，关闭了一项被犯罪分子用来测试恶意软件和规避杀毒软件的服务 AVCheck.net 。该服务被称为 “国际上最大的反杀毒服务之一” 。软餐访问该网站看到，域名已被警方查封，并显示了查封令。此次关闭 AVCheck 服务是 “终局行动”（Operation Endgame）的一部分，这是一项旨在打击网络犯罪服务的国际警务合作行动。该行动由隶属于荷兰国家警察部队的高科技犯罪小组执行。荷兰、美国和芬兰警方合作开展了此次行动。警方与几家杀毒软件和安全公司合作关闭了该网站。除了 AVCheck，警方还关闭了另外两项类似服务：Cryptor.biz 和 Crypt.guru 。

https://www.ruancan.com/p/236644.html

Picca

一直不太明白，VT和AVCheck有什么本质的区别？是情报共享上面的区别吗，比如VT检测到可疑文件会被AV厂商入库而AVCheck不会之类的吗？

aikafans

Picca 发表于 2025-6-2 15:39
一直不太明白，VT和AVCheck有什么本质的区别？是情报共享上面的区别吗，比如VT检测到可疑文件会被AV ...

好问题，我也有疑问

莉塔林Rita

aikafans 发表于 2025-6-2 22:10
好问题，我也有疑问

昨天我刚跟@神龟Turmi 讨论完这个东西。

AVCheck本质上是一个“免杀测试平台”，他们专门让黑产把他们做的恶意软件发到这里，测试自己的新免杀技术是否真的能过特定的反病毒软件。

因此，这东西从本质的说，和那些所谓的HvH游戏社区服类似：他们并不是恶意软件开发者，但他们为犯罪活动提供了帮助（就像HvH本质是宣传游戏作弊软件一样）。

同时，真正负责捣毁这个组织的，是荷兰警察局和芬兰警察局，美国只是去关闭了这个域名（因为.net域名属于美国境内实体管辖，荷兰和芬兰无法直接关闭）。

在荷兰警察局官网上就可以看到这件事：

https://www.politie.nl/en/news/2 ... -taken-offline.html

chx818

莉塔林Rita 发表于 2025-6-3 06:38
昨天我刚跟@神龟Turmi 讨论完这个东西。

AVCheck本质上是一个“免杀测试平台”，他们专门让黑产把他们 ...

羡慕能和龟大讨论，我只能和Gemini讨论

关于运营多引擎检测网站的法律规定以及像AVCheck.net这样的服务是否合法，可以从以下几个方面来看：

1. 合法运营的多引擎检测网站 (例如 VirusTotal)

这类网站如果合法运营，通常需要遵守以下方面的法律和规定（具体因司法管辖区而异）：

软件许可和授权：
杀毒软件引擎的使用许可： 要在其服务中使用商业或开源的杀毒软件引擎，必须获得相应引擎开发商的明确许可。这通常涉及到许可协议和可能的费用。未经授权使用这些引擎可能构成版权侵犯或违反软件许可协议。
API 使用条款： 如果通过API调用引擎，需要遵守API提供商的使用条款。
数据隐私和保护：
用户上传文件的处理： 对于用户上传的文件，需要有明确的隐私政策，告知用户这些文件将如何被处理、存储、是否会被分享以及分享给谁。例如，VirusTotal 会与杀毒软件厂商和安全社区共享上传的样本，以帮助改进检测能力和进行安全研究，这一点在其服务条款中有明确说明。
个人信息保护： 如果收集用户个人信息（如邮箱、IP地址等），需要遵守当地的数据保护法规，如欧盟的GDPR、中国的《个人信息保护法》等。这包括告知义务、同意原则、数据安全保障义务等。
网络安全法规：
自身平台的安全： 网站运营者有责任确保其平台的安全，防止被黑客攻击或滥用，例如防止其成为传播恶意软件的工具。这可能包括遵守网络安全等级保护制度（如中国《网络安全法》的要求）。
禁止恶意行为： 平台不得被用于或促进非法活动。服务条款通常会禁止上传非法内容或将服务用于恶意目的。
知识产权：
尊重他人的知识产权，包括杀毒软件的商标和版权。
透明度和目的合法性：
服务的目的应该是提升网络安全，帮助用户识别潜在威胁，而不是协助恶意行为。这一点通常通过服务条款和与安全社区的合作来体现。
2. AVCheck.net 这类服务的非法性

像AVCheck.net这样的“反杀毒软件（Counter Antivirus, CAV）”服务，其运营模式和目的使其本身就具有高度的非法性。原因如下：

协助和教唆网络犯罪：
主要目的： AVCheck.net的核心功能是帮助恶意软件开发者测试其恶意软件的免杀（FUD - Fully Undetectable）效果，即测试其恶意软件能否绕过主流杀毒软件的检测。这直接帮助了网络犯罪分子改进其攻击工具，使其更难被发现和防御。
促进恶意软件传播： 通过提供此类服务，运营者实质上是在为恶意软件的开发、传播和成功攻击提供便利，构成了对网络犯罪活动的协助。
违反计算机欺诈和滥用法案等法律： 在许多国家，包括美国（如《计算机欺诈和滥用法案》CFAA），提供工具或服务以促进未经授权访问计算机系统、传播恶意软件等行为是违法的。
未经授权使用杀毒软件引擎：
这类地下服务极不可能从所有（或任何）杀毒软件厂商那里获得合法授权来使用其引擎进行此类测试。它们很可能是非法获取和使用这些引擎的。
意图（Intent）：
与VirusTotal等旨在提高整体网络安全并将样本分享给安全厂商的合法服务不同，AVCheck.net的明确意图是不与杀毒软件厂商分享样本，从而保护恶意软件的“免杀”特性，使其能够更长时间地用于非法活动。这种意图是区分合法与非法服务的一个关键因素。
违反服务条款和法律义务：
如果这些服务使用了云基础设施或其他第三方服务，其行为几乎肯定会违反这些服务提供商的使用条款（例如，禁止用于非法或恶意活动）。
缺乏透明度和滥用：
这类服务通常在暗网或隐蔽的互联网角落运营，缺乏透明度，其用户群体主要是网络犯罪分子。
执法行动的证明：

AVCheck.net等类似域名（如Cryptor.biz, Crypt.guru）最近被美国司法部（DoJ）联合荷兰、芬兰等国的执法机构查封，这一行动本身就雄辩地证明了这类服务的非法性。执法部门明确指出，这些服务被用来“混淆恶意软件，使其无法被检测，并能够未经授权访问计算机系统”，并且“被设计用于网络犯罪”。荷兰警方也称AVCheck是“全球网络犯罪分子使用的最大的反杀毒软件服务之一”，其查封是为了“打击有组织的网络犯罪”。

结论：

运营一个合法的多引擎检测网站需要严格遵守软件许可、数据隐私、网络安全等一系列法律法规，并且其目的是提升网络安全。

而像AVCheck.net这样的服务，由于其主要目的是帮助网络犯罪分子测试和改进恶意软件的逃避检测能力，从而促进和协助网络犯罪，因此本身就是非法的。它们的存在对全球网络安全构成了严重威胁，这也是为什么它们会成为执法机构打击的目标。

Q：我觉得这和有人拿菜刀砍人一样，菜刀本身应该不是不合法的，我觉得应该还是有很多人并不想共享自己的数据出去，假设有人认为自己电脑上的某个文件受到了感染，但这个文件又包含隐私，我觉得因为这种需求，avcheck.net这样的服务应该不会有什么不合法之处，除非他们宣传上就直接以能帮助干坏事作为卖点，否则又没有法律规定这样的网站一定要与安全社区共享数据

A：您提出的观点很有意思，确实触及了工具中立性、用户隐私需求以及服务运营意图之间复杂的界限。让我们来分析一下：

1. “菜刀”的比喻与工具中立性：

您用菜刀来比喻，这在一定程度上是合理的。一把菜刀本身是中性的，可以用来切菜做饭，也可以被用来伤人。许多技术和工具都具有这种“双重用途”的特性。法律通常不会禁止工具本身，而是会关注工具的使用方式和意图。

2. 用户隐私需求与私密扫描：

您指出的用户隐私需求是完全正当的。确实，很多用户可能拥有包含高度敏感私人信息的文件，他们可能怀疑这些文件被感染，但又不希望将这些文件上传到会公开分享样本的服务（如VirusTotal，尽管其目的是好的）。理论上，一个仅仅提供私密文件扫描服务，并且严格保护用户隐私，不将用户数据用于任何其他目的的网站，其本身可能不直接构成违法。

3. AVCheck.net 这类服务的关键区别和非法性所在：

尽管存在上述隐私需求，但像AVCheck.net这样的服务之所以被执法部门认定为非法并予以查封，关键在于以下几点：

主要目的和目标用户群体： 执法部门的调查表明，AVCheck.net这类服务的主要目的并非服务于普通用户保护隐私的偶然需求，而是系统性地、专业地服务于网络犯罪分子。它们的核心业务是帮助恶意软件开发者测试其恶意软件的“免杀”效果，以便更有效地进行网络攻击。它们的客户主要是恶意软件的制造者和传播者。
运营模式和宣传：
“不共享样本”作为核心卖点： 对于普通用户，文件扫描后不被共享可能是一个隐私特性。但对于恶意软件开发者而言，“保证不与杀毒软件供应商共享样本”是他们选择这类服务的核心原因。这使得他们可以在不惊动安全厂商、不让其恶意软件被加入病毒库的情况下，反复测试和优化其恶意代码，直到达到满意的隐蔽效果。这直接助长了恶意软件的开发和传播。
宣传和社区： 虽然我们可能无法直接看到AVCheck.net被关闭前的所有宣传材料，但这类地下服务通常在网络犯罪论坛和社群中进行推广，其目标受众和宣传内容都指向了恶意用途。执法部门在调查这类案件时，会收集这方面的证据。美国司法部在声明中明确指出，这些平台“被设计用于网络犯罪”，“允许恶意软件开发者和分发者匿名测试其恶意软件的检测率”。
协助犯罪的意图（Mens Rea）： 法律上，行为的意图非常重要。如果一个服务的设计、运营和推广都明显指向于协助犯罪活动，即使其使用的技术本身可能是中性的，该服务也可能被认定为非法。AVCheck.net的运营者通过提供一个专门帮助恶意软件逃避检测的环境，并以此牟利，其协助犯罪的意图是比较明显的。
规模和影响： 荷兰警方称AVCheck.net是“全球网络犯罪分子使用的最大的反杀毒软件服务之一”。这种规模和影响使其成为打击网络犯罪的重点目标。
4. 关于“共享数据”的法律规定：

您说“又没有法律规定这样的网站一定要与安全社区共享数据”，从狭义上讲，可能确实没有一条法律明确规定所有文件扫描网站都必须强制性地将其接收到的所有数据与安全社区共享。
然而，这并不意味着它们可以为所欲为。如果一个服务通过“不共享数据”这一特性来故意吸引和协助犯罪分子，并成为犯罪生态链中的一环，那么它就可能触犯其他更广泛的法律，例如共谋犯罪、协助犯罪、提供犯罪工具等。
合法的、以提升网络安全为目的的服务（如VirusTotal）选择与安全社区共享数据，是出于行业责任和提升整体安全水平的考量，这也是它们获得杀毒软件厂商授权和信任的基础。
结论：

AVCheck.net之所以被关闭，并非仅仅因为它提供了文件扫描功能且不共享数据，而是因为有充分证据表明，它的核心业务、目标客户和运营模式是专门为了帮助网络犯罪分子测试和优化恶意软件，使其更难被检测到，从而促进和便利了网络犯罪活动。 这种服务已经超出了“中立工具”的范畴，成为了网络犯罪生态系统中的一个重要环节和帮凶。

执法部门的行动是基于对该服务实际运作方式、服务对象及其在网络犯罪活动中所扮演角色的调查和评估。虽然普通用户确实有隐私扫描的需求，但这并不能成为AVCheck.net这类以协助恶意活动为主要目的的平台合法化的理由。区分的关键在于服务的主要意图、设计和实际用途。

Fadouse

Picca 发表于 2025-6-2 15:39
一直不太明白，VT和AVCheck有什么本质的区别？是情报共享上面的区别吗，比如VT检测到可疑文件会被AV ...

VT会和安全厂商共享样本情报
而AVC不会与厂商共享