相信很多人都遇到過下載軟件打開后，卻莫名其妙發(fā)現(xiàn)是一個(gè)下載器的情況，抱著試試的想法點(diǎn)擊運(yùn)行，不僅可能沒有得到想要的軟件，還極有可能會捅了“流氓窩”：軟件推廣、廣告彈窗、桌面快捷方式等等涌向電腦，甚至還攜帶了病毒到本地執(zhí)行，令人苦不堪言。

圖：下載器運(yùn)行界面

圖：下載器文件名及文件圖標(biāo)

火絨也收到過很多用戶遭遇下載器流氓行為的求助，我們也推過不少披露關(guān)于“下載器”的報(bào)告。至此，我們再次將“下載器”流氓行徑、特點(diǎn)、傳播渠道等一一梳理曝光，提醒廣大用戶，并配合推出專門攔截此類流氓“下載器”的功能，希望能幫助大家免受侵?jǐn)_。（【訪問控制】-【程序執(zhí)行控制】-點(diǎn)擊開啟按鈕即可開啟）

一、購買搜索排名

當(dāng)我們需要下載軟件時(shí)，會通過搜索引擎對軟件進(jìn)行搜索，之后找到相應(yīng)軟件的下載地址進(jìn)行下載。

但是，通常我們在搜索結(jié)果中所看到的下載鏈接，大部分均為下載站鏈接。例如，我們以下載網(wǎng)易云音樂為例，相關(guān)搜索后結(jié)果如下圖所示：

圖：搜索引擎結(jié)果顯示

可以看到，在第一頁的搜索結(jié)果中，10條有8條（紅框標(biāo)注部分）甚至排名第一位的都是第三方下載器平臺的下載鏈接，普通用戶稍不注意就會落入了下載器的廣告推廣套路之中。

二、通過下載站傳播

我們以太平洋下載中心為例，點(diǎn)擊此鏈接后，來到如下界面，如下圖所示：

圖：太平洋下載網(wǎng)站界面

當(dāng)看到“本地下載”和“可以提速50%”的高速下載時(shí)，沒有經(jīng)驗(yàn)的普通用戶往往為了提升下載速度，選擇高速下載。

但高速下載并不會直接下載下來所需軟件，而是下載了一個(gè)下載器。一旦點(diǎn)擊運(yùn)行，就會面臨各種流氓行為的侵?jǐn)_（下方有具體描述）。

這些下載站的高速下載器有兩個(gè)特點(diǎn)：

一是同一下載站中的不同軟件高速下載器文件內(nèi)容完全相同。這意味著用戶在該下載站下載執(zhí)行任何一款軟件，都會面臨相同的流氓廣告推廣行為。

以下載如下三個(gè)常用軟件為例，可見最終得到的下載器hash完全相同。如下圖所示：

圖：不同軟件對應(yīng)的下載器hash

國內(nèi)此類下載站眾多，常見的軟件下載網(wǎng)站如下圖所示：

圖：常見下載網(wǎng)站匯總

二是不同下載站也會使用相同一套高速下載器程序。這又表明用戶即便換一個(gè)下載站，還是會面臨上述風(fēng)險(xiǎn)。

以文件描述信息為“智能下載器”為例，相關(guān)信息如下圖所示：

圖：智能下載器相關(guān)文件信息

使用該“智能下載器”的下載站共有36家下載站，相關(guān)下載站如下圖所示：

圖：使用智能下載器的下載站

以太平洋下載站的智能高速下載器為例，界面軟件推廣配置及界面如下圖所示：

圖：智能高速下載器界面軟件推廣

常見下載器推廣軟件匯總信息如下圖所示： 

圖：常見下載器推廣軟件匯總信息

三、仿冒官網(wǎng)進(jìn)一步傳播

另外，一些無良下載站甚至?xí)倜败浖倬W(wǎng)傳播下載器。不久前，火絨安全團(tuán)隊(duì)收到用戶反饋，稱在火絨“官網(wǎng)”下載的火絨安裝包會捆綁安裝其他軟件。我們調(diào)查后發(fā)現(xiàn)，用戶訪問的網(wǎng)站并非真正的火絨官網(wǎng)，而是極具欺騙性的“李鬼”火絨官網(wǎng)。

圖：下載站仿冒的火絨官網(wǎng)

該網(wǎng)站盜用了“火絨3.0”的Logo，并自稱“官方免費(fèi)版”，非常像一個(gè)獨(dú)立軟件的官網(wǎng)，所以不熟悉火絨的人極易相信這就是火絨的官方網(wǎng)站，從而點(diǎn)擊下載。

圖：下載“火絨”后顯示為下載器

諸如此類的“李鬼”官網(wǎng)會提供多種下載方式，然而無論用戶選擇何種下載方式，都指向的是相同的下載器，且具備與下載站下載器相同的危害。

四、下載器的流氓行為

通常情況，這些下載器的程序圖標(biāo)和界面大致相同，運(yùn)行后極有可能進(jìn)行軟件推廣、桌面廣告彈窗、右下角廣告彈窗、托盤圖標(biāo)閃爍、添加網(wǎng)頁收藏鏈接、創(chuàng)建桌面快捷方式等流氓行為，有的下載器甚至還會靜默推廣軟件，下載鎖首病毒到本地執(zhí)行。

圖：桌面廣告彈窗圖

圖：右下角廣告彈窗

其中，包括托盤圖標(biāo)閃爍、添加網(wǎng)頁收藏鏈接等推廣方式讓用戶難以取消或發(fā)現(xiàn)。

盤圖標(biāo)閃爍是一種比較典型的下載器流氓行為，它不具有直接的關(guān)閉按鈕，除非用戶通過進(jìn)程管理器關(guān)閉下載器進(jìn)程，否則只能手動(dòng)點(diǎn)擊，等待瀏覽器自動(dòng)打開廣告鏈接，最后關(guān)閉瀏覽器。相關(guān)現(xiàn)象如下圖所示： 

圖：任務(wù)欄圖標(biāo)和托盤圖標(biāo)閃爍圖

同樣，添加網(wǎng)頁收藏鏈接是下載器常見的流氓行為，相關(guān)現(xiàn)象如下圖所示：

圖：瀏覽器添加收藏鏈接

更過分的是，此類下載器服務(wù)端通常會根據(jù)用戶所在地區(qū)下發(fā)不同的配置，其中包括下載器的界面配置和推廣配置，從而實(shí)現(xiàn)同一下載器執(zhí)行不同的推廣策略。

同一下載器的在不同地區(qū)進(jìn)行執(zhí)行，得到的界面如下圖所示： 

圖：下載器界面圖

此外，還有更精準(zhǔn)的，從不同地區(qū)請求的推廣配置信息也有所不同，其中包括了各種廣告和軟件推廣的配置信息。

圖：相同的模塊請求得到不同的廣告推廣配置

五、火絨新增攔截下載器功能

下載站與下載器的流氓的商業(yè)行為對不了解互聯(lián)網(wǎng)的普通用戶非常不友好，我們也經(jīng)常收到用戶關(guān)于此類問題的求助。隨著流量變現(xiàn)的多樣化發(fā)展，第三方軟件下載站平臺會層出不窮，流氓手段也會花樣繁多。大家平時(shí)在下載軟件的時(shí)候，一定要前往正規(guī)的官網(wǎng)下載。

為了能幫助大家避免遇到該問題，我們在新版的火絨安全客戶端中新增加了針對于此類”高速下載器”的攔截功能，您可以在【訪問控制】-【程序執(zhí)行控制】中，手動(dòng)選擇開啟此功能開關(guān)（默認(rèn)關(guān)閉），從而攔截此類程序的執(zhí)行。相關(guān)開關(guān)及其現(xiàn)象如下圖所示：

圖：火絨安全客戶端配置

圖：火絨攔截下載器程序運(yùn)行

附火絨相關(guān)報(bào)告：

1、《無節(jié)制流氓推廣 2345旗下下載站正在傳播木馬程序》

https://www.huorong.cn/info/1583504456441.html

2、《小心這類“李鬼”網(wǎng)站 靠搜索引擎“助力”流氓下載器推廣》

https://www.huorong.cn/info/1577158839403.html

3、《后門病毒通過下載站傳播 全面劫持各大主流瀏覽器》

https://www.huorong.cn/info/1529567314136.html

4、《新病毒利用多家知名下載站瘋狂傳播 日感染量最高達(dá)十余萬》

https://www.huorong.cn/info/1518338707106.html

5、《下載站行業(yè)亂象：流氓軟件和電腦病毒重災(zāi)區(qū)》

https://www.huorong.cn/info/149181215360.html