【根治流氓病毒】向流氓病毒说：不！！！！！！！！！！！！！

hfut

一、        流氓病毒界定

流氓病毒是一种全新的病毒类型，病毒软件合法化、合法软件病毒化的恶果。

具有以下特征中的一种或多种：

1.  违背用户主观意愿的安装行为

后台直接捆绑安装且无提示；

通过诱骗安装；

通过恫吓安装；

虽给出安装与否的选项，但选项在视觉上不明显，选项在语义不明确、存在诱导，选项不可选，或超时后自动安装；

通过第三方渠道强制推广安装，然后把责任推卸给第三方；

冒充其他软件或模块安装；

产品卸载后仍保留部分功能模块，继续驻留式安装；

卸载时以复杂选项、或视觉干扰、或语义诱导用户，保留安装或进一步安装其他产品或模块；

通过软文及其他洗脑式宣传手段诱骗用户安装；

通过主站与其他颁发站点分别发布版本号相同但功能不同的程序，操纵用户端行为并逃避追责；

逼迫用户安装特定的版本。

2.  产品卸载困难

不在系统添加删除程序组件中提供卸载快捷方式；

不提供卸载程序和方法；

卸载时不完整卸载整个产品，保留服务等程序驻留；

卸载后预留下次安装的后门代码；

卸载时要求用户进行公式计算、图案识别等卸载无关行为以增加卸载难度；

卸载时设置复杂选项诱导用户以增加卸载难度；

卸载时将非卸载选项设置为醒目状态诱导用户进行非卸载操作；

卸载时故意大幅度延长时间，逼近用户丧失耐心后关闭卸载；

卸载时撒泼打滚要求用户不要卸载；

卸载时弹出诱导性网页以诱导用户再次点击下载；

替换或篡改系统文件，导致一旦卸载则系统即崩溃；

后台存在多个非必须的驻留进程并相互守护。

3.  篡改或锁定浏览器主页、自主弹出特定页面

直接修改注册表以篡改浏览器原有主页；

篡改用户各种浏览器快捷方式的路径后缀以强制打开特定主页；

直接植入或替换用户浏览器的快捷方式以打开特定主页；

通过驻留的后台进程并按一定逻辑打开特定页面；

通过注入系统进程并按一定逻辑打开特定页面；

通过向系统添加计划任务来定时打开特定页面；

通过脚本执行打开特定页面；

弹出窗口关闭困难；

用户关闭弹窗时会打开其他页面。

4.  推广内容违反公序良俗

内容低俗甚至涉及黄赌毒，或打黄赌毒擦边球；

内容信息违反科学常识；

内容存在价值观诱导；

弹窗干扰用户正常操作。

5.  恶意消耗用户资源

利用驻留程序或代码做分布式计算（挖矿等）；

利用程序自动访问网络特定目标，生成大量推广点击数或推广流量；

通过多种安装方式，向用户系统强制或诱骗方式植入多个程序，以获取装机量收益；

擅自植入驱动，擅自添加注册表自动启动项；

擅自篡改用户环境的文件关联，指向自己的产品；

打着“加速”的旗号，掩盖感染用户系统后导致系统速度下降的事实。

6.  侵犯用户隐私

打着一些似乎“实用”功能的旗号驻留内存；

非法获取用户隐私信息；

借口安全扫描，窥探用户信息；

非法获取用户收藏夹、搜索关键字等信息；

非法获取用户词频信息用于大数据分析；

收集用户点击习惯、浏览习惯；

收集用户搜索关键字；

获取用户系统中软硬件信息；

有多媒体外设的系统中，擅自开启麦克风、摄像头记录用户信息；

打着修补安全漏洞名义，故意保留和开放某些漏洞，进而采取信息窃取行动。

二、        流氓病毒样本提取1.  搜索软件

模拟普通非计算机专业人员的各种使用操作，使用各种搜索引擎，搜索一些通用的软件。

2.  下载软件

使用常用的各种手段下载搜索到的软件。

3.  安装软件

按照常规操作，安装各种下载到的软件。

4.  监测安装行为

使用AdvancedRegistry Tracer，对安装前后的系统注册表生成全面的快照；安装运行结束后，比较这些快照，得到注册表篡改记录

安装前后分别生成系统文件列表，然后比较前后文件列表，得到文件植入和篡改记录。

5.  监测自启行为

分析注册表自动加载相关键值；

观察自动启动目录；

分析常用文件关联的篡改情况；

分析系统计划任务列表。

6.  监测运行及联网行为

关闭无关程序、结束无关进程后，运行DnsQuerySniffer（http://www.nirsoft.net/utils/dns_query_sniffer.html），监听联网网卡的通讯；

对前述下载到的软件进行安装，监测安装过程中安装程序的网络访问行为，得到在线安装其他程序的上游地址；

运行安装后的软件，不干预状态下持续运行24小时，同时监听其联网行为，得到其联网行为的相关地址；

通过“IP雷达”、Process Monitor（https://docs.microsoft.com/en-us/sysinternals/downloads/procmon）之类工具，监测软件运行中的实时访问行为，得到其实时访问状态记录；

持续运行24小时后，比较前后的文件列表，以监测其自动植入其他程序和文件的行为。

通过上述方法，可捕获大量流氓病毒的上游地址。

这些地址包括下载地址、弹窗内容地址等。

可以采用以下格式，一条地址一行，把它解析到本地环路地址，保存到c:\windpws\system32\driveers\etx\hosts，从而让它找不到自己的老窝，不能下载、不能弹出有效内容，实现根治的效果。

HOSTS文件格式示例：

127.0.0.1  www.abcwxy123.com

127.0.0.1  www.qwertyuiop.com

………………

对于拥有自己的DNS设备的单位用户，可以把上述地址植入DNS设备，对这些地址做强制解析，可实现企业全网的有效防护。

本办法不需要借助杀软（国产杀软大多已经演化成彻头彻尾的病毒），不需要程序，对用户完全透明。

目前已经捕获地址1900条，使用到HOSTS后效果极佳，各种病毒下载器完全失效。

如果病毒改用IP地址，那么我们同样可监测并捕获它的地址，纳入防火墙屏蔽之。

已经捕获的地址不方便公开分享（你懂的），病毒软件合法化的当下，用户只能自求多福。

如果你也对病毒安全感兴趣，可以私信，在提供你捕获的地址的前提下，分享已经捕获的地址给你。白伸手的恕不回复。

cduser

弄个成品才能广谱抗菌！理念的东西只有大神才能体会……

freesoft00

广告流氓软件的静默卸载程序其实也可以收集一下。
因为平时遇到的很多弹广告的电脑，只是需要把广告软件卸载掉。
一个一个卸载比较麻烦，有时候会使用一些系统中已经有的软件管家，用软件管家卸载了不用的软件，最后再把软件管家相关连带的安全卫士也卸载了。
因为很多电脑不是很重新装系统，所以只要保证能正常运行就可以了。

yinbinly

楼主真是有心人，我测试过屏蔽EXE 文件夹设置权限 防火墙屏蔽  hosts 不过因为工程量巨大  都放弃了  楼主让我看到了希望

今夜有大风

谢谢楼主分享

aker

昨天帮客户装系统，原来的系统里面浏览器，看图，pdf，压缩软件每样都有3~5个，基本都是数字命名的。

2623666

流氓软件都多少年了  看来3.15都管不了

Climbing

扬汤止沸，不如釜底抽薪：不装这些垃圾软件不就完了。非常简单的原则：国产软件能不装就不装，弹窗及广告软件坚决不装。

binyue1985

蛮全的，学习下，感谢分享，流氓软件的确够烦的

铿锵玫瑰

zengqcyxx 发表于 2021-8-16 01:09
方法一、如果使用WINdows系统，将那个“文件”里的内容复制粘贴到C:\Windows\System32\drivers\etc\hosts ...

感谢回复，您辛苦了！

zengqcyxx

铿锵玫瑰 发表于 2021-8-15 15:28
能看见内容，但不会下载，请指导，谢谢！

方法一、如果使用WINdows系统，将那个“文件”里的内容复制粘贴到C:\Windows\System32\drivers\etc\hosts,保存。
方法二、如果路由器支持SSH登陆，将那个“文件”里的内容复制粘贴到\etc\hosts,保存。
方法三、如果你的是“智能路由器”而且自带一些去广告插件的话，加上它可以自定义的话，将“文件”的网址复制粘贴进去让它自动导入。
。。。。。。。

xzm1008

流氓太多了，也没有哪个来管一下，不杀人是没有会怕的

magicgenius

根治? 名字挺大，可操作性不强！

dx163

”已经捕获的地址不方便公开分享（你懂的），病毒软件合法化的当下，用户只能自求多福。
如果你也对病毒安全感兴趣，可以私信，在提供你捕获的地址的前提下，分享已经捕获的地址给你。白伸手的恕不回复。”  
对于小白们只能看看而已了。

铿锵玫瑰

szwp 发表于 2021-8-15 15:06
https://github.com/VeleSila/yhosts

能看见内容，但不会下载，请指导，谢谢！

zx6769

谢楼主分享

szwp

https://github.com/VeleSila/yhosts

1110

softcnkiller了解一下？

fengye0111

前几天在一个下载站下一个软件，先是下来一个下载器，然后下载来的软件是个损坏的压缩包，而且体质也跟那个软件相差很多，纯粹是骗人下载他的全家桶的，虽然下载前把那些捆绑软件的勾去掉了，不想还是中招，最后装上火绒才把它们干掉。真他么的操蛋

hfut

junyee 发表于 2021-8-15 10:42
host 不支持通配符，用处不大。

实体监测，实时捕获，抓一个是一个，干掉1900个地址后，目前效果已经极好了！什么下载器，什么捆绑安装，基本上都无效了。

hfut

铿锵玫瑰 发表于 2021-8-15 12:33
要根治这种状况，还是需要网信管理部门出手。老百姓的电脑知识已经斗不过这些利益驱动下的不良企业。

指望网信？病毒软件合法化不是正是他们纵容的么！！！

不落的太阳

资本的力量

riser

流氓软件算不算

铿锵玫瑰

要根治这种状况，还是需要网信管理部门出手。老百姓的电脑知识已经斗不过这些利益驱动下的不良企业。

铿锵玫瑰

2012andyle113 发表于 2021-8-15 10:03
算是个方法吧，对小白不友好，也比较麻烦
一般稍微懂点的，其实只要弄个防火墙，不是自己点击的网络访问一 ...

怎么让电脑知道不是用户点击的？

seawaycao

谢谢分享！给力！

aichong168

路过学习一下，谢谢分享

MPFENG

谢谢楼主分享

d9o

支持支持支持支持!

yincheng

看这贴子的应该也没什么垃圾推广的