科普：流氓軟體和電腦病毒重災區 下載站行業亂象匯總分析

本文作者：實習小蘇

導語：下載網站流氓軟體捆綁猖獗，同時成為了電腦病毒的重要傳播源頭。

火絨實驗室通過長期研究和跟蹤發現，下載網站已經成為目前PC互聯網安全威脅的重災區。不光各種侵害用戶權益的事情普遍存在，同時也是電腦病毒的重要傳播源頭。令人費解的是，這些侵權行為不單單存在某幾個下載站，而是目前所有主流下載站的普遍行為。

根據火絨工程師的篩查，僅有少數不太知名的小下載站，不存在用戶侵權行為。

亂象一：強行捆綁安裝軟體成常態

不知道從什麼時候開始，幾乎所有的下載站都開始進行各種各樣的捆綁安裝，用戶幾乎無法按照自己的意願下載軟體。當用戶下載軟體時，被強行、欺騙安裝一些自己並不需要的軟體，這已經成為常態。可以說，整個下載站行業都在侵權。

這類侵權行為基本可以分為三種方式：

1、誘導安裝

2、捆綁安裝

3、再打包捆綁

1、誘導安裝

請看「x迅網」的「微信電腦版2.1 正式版「下載頁面http://www.yxdown.com/soft/252631.html

【圖1】

下載到的下載器如下圖所示，大標題是「微信電腦版2.1」。

注意左上角是樂游安裝程序，該安裝包不但不是「微信電腦版」的安裝包，而且安裝過程中還有很多默認勾選框。

這些勾選項包括：赤月傳說2、百度輸入法、360套裝、QQ瀏覽器、魯大師……等等。

【圖2】

【圖3】

【圖4】

安裝完成，其實安裝的是樂游安裝程序，以及上述默認勾選項里的各種軟體。

唯獨沒有用戶本來要下載的「微信電腦版」。這是一種明顯的欺騙用戶的行為，當用戶要下A時，得到的是B、C、D……，業內稱之為「誘導安裝」。

2、捆綁安裝

無論下載的文件大小，下載站都會在顯著位置暗示用戶，有「高速下載通道」。

用戶通過「高速通道」下載到的文件是一個下載器，下載器在下載用戶需要的文件時，還會在不起眼的地方默認勾選別的下載項，甚至不提示用戶直接捆綁下載別的軟體。「高速下載通道」其實是下載器，它的唯一作用就是捆綁安裝其他軟體。

以xx6下載站為例，進入微信電腦版下載頁面，整個頁面除了廣告以外就是誘導用戶安裝下載器(圖中紅色區域)，而且即使用戶正確的點擊了圖中綠色按鈕的本地下載（圖5），也會用高速下載描述欺騙用戶使用下載器（圖6）。

【圖5 xx6下載站】

【圖6 xx6下載站】

【圖7 x軍軟體園】

【圖8 x軍軟體園】

從這些網站下載下來的高速下載器如下圖：

【圖9】

【圖10】

火絨工程師認為：所謂的「下載器」和「高速下載通道」既沒有用處，也沒有存在的必要。

為了躲避這些「下載器」的侵擾，用戶可以去某個軟體的官網下載產品，一般不用擔心下載到下載器。

這些「下載器」存在的意義就是為了捆綁安裝其他軟體。這些捆綁軟體無一例外都不是用戶當時想要的，如果想要這些軟體，在下載站上都能找到。

總之，除了給用戶製造麻煩，所謂這些「高速下載通道」和「下載器」沒有任何作用。

3、再打包捆綁

所謂的「再打包捆綁」也叫「二次打包」。

和上面所說的下載器不同，這是將用戶要下載的軟體的安裝包，打包到另一個添加了捆綁軟體的安裝包中，讓用戶下載「一整包」軟體，包括用戶需要的，以及其他強行捆綁的其他軟體。

如圖所示，用戶在「xx45下載」上下載「微信電腦版」時，會同時被安裝2345安全衛士、2345加速瀏覽器、2345網址導航、騰訊視頻（這些捆綁項會不定期變動）。

【圖11】

【圖12】

亂象二：成為電腦病毒重要感染源

下載站在捆綁安裝侵害用戶權益的同時，本身魚龍混雜，也是電腦病毒的重災區。有的下載站對軟體產品審查不嚴，讓某些攜帶電腦病毒的軟體產品入駐，而某些流氓軟體天生就和電腦病毒有緊密聯繫，攜帶病毒模塊、病毒下載器，甚至完整的病毒。

同時，為了躲避安全軟體對捆綁下載等侵權行為的攔截，許多下載站會欺騙用戶關閉安全軟體，這更為電腦病毒的傳播打開了綠燈。

1、下載站的軟體攜帶病毒

火絨實驗室跟蹤分析表明，某些和Ramnit類似的老病毒目前依然流行，下載站是其重要的傳播通道，譬如知名下載站「x訊網」，在某段時間的補丁全部感染了Ramnit病毒：

http://www.yxdown.com/gongju/55654.html、http://www.yxdown.com/buding/62791.html

http://www.yxdown.com/gongju/63993.html、http://www.yxdown.com/gongju/64500.html

http://www.yxdown.com/gongju/65446.html、http://www.yxdown.com/gongju/62913.html

http://www.yxdown.com/gongju/55897.html、http://www.yxdown.com/gongju/55896.html

http://www.yxdown.com/gongju/36524.html、http://www.yxdown.com/gongju/54048.html

http://www.yxdown.com/gongju/47457.html、http://www.yxdown.com/gongju/24154.html

http://www.yxdown.com/gongju/24145.html、http://www.yxdown.com/gongju/49005.html

http://www.yxdown.com/gongju/53514.html、http://www.yxdown.com/gongju/54286.html

http://www.yxdown.com/buding/70521.html、http://www.yxdown.com/buding/69850.html

http://www.yxdown.com/gongju/63224.html、http://www.yxdown.com/gongju/34554.html

http://www.yxdown.com/gongju/24515.html、http://www.yxdown.com/gongju/24515.html

http://www.yxdown.com/buding/54571.html、http://www.yxdown.com/buding/33468.html

http://www.yxdown.com/buding/16229.html、http://www.yxdown.com/gongju/36885.html

http://www.yxdown.com/gongju/55274.html、http://www.yxdown.com/gongju/115988.html

http://www.yxdown.com/gongju/61981.html、http://www.yxdown.com/gongju/54577.html

http://www.yxdown.com/buding/64784.html、http://www.yxdown.com/buding/54551.html

其他下載站也因為檢測、審查不嚴，時常有攜帶病毒的軟體產品出現。

譬如：

生死狙擊無敵輔助 透視+自動開槍+自瞄+武器修改 1.2

http://www.guguzhu.com/ssjj/255381.html

CF外服LTB解鎖工具免費版

http://www.uzzf.com/soft/223164.html

若舊一鍵迅雷快鳥提速50M寬頻(迅雷快鳥網路提速服務補丁)V1.0.1 綠色免費版

http://www.greenxf.com/soft/106599.html

2、為躲避監管，下載站誘導用戶關閉安全軟體

很多下載站會用各種理由提示用戶，在下載軟體時關閉安全軟體，這就為病毒傳播打開了方便之門。

舉例如下：

【圖13】

http://www.52z.com/soft/192772.html

【圖14】

一個叫「x普下載」的下載站還有專門的官方聲明，在申訴自己被殺毒軟體「誤殺」的同時，詳細告訴用戶如何關閉360殺毒、騰訊QQ管家和金山殺毒http://www.gpxz.com/diannao/changshi/377594.html

火絨工程師認為，讓用戶關閉安全軟體有時有一定的合理性，但是一定要謹慎，這種行為很容易被病毒利用。

首先，破解工具、黑客工具、遊戲登陸器等這類包含侵權性質的程序，有些會被安全軟體檢測為病毒，造成用戶無法使用。

其次，一些常見的加密加殼工具也會被某些安全軟體誤報為病毒，很多小軟體為了保護自己的知識產權使用了這些工具，由於長期處於誤報和解決誤報這種狀態下，所以很多下載站也要求關閉或者添加白名單信任。

雷鋒網提示：上述兩種情況都有可能被病毒製造者利用，甚至久而久之成為用戶下載軟體時的習慣，危險性非常大。因此關閉安全軟體時務必謹慎，首先要確保該下載站相對靠譜、嚴謹，其次減少關閉安全軟體的時間，下載完相應的產品後立刻打開安全軟體，恢復監控等各種功能。

雷鋒網原創文章，網站轉載需申請授權。但，歡迎分享轉發~

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！