火絨實(shí)驗(yàn)室通過(guò)長(zhǎng)期研究和跟蹤發(fā)現(xiàn)，下載網(wǎng)站已經(jīng)成為目前PC互聯(lián)網(wǎng)安全威脅的重災(zāi)區(qū)。不光各種侵害用戶權(quán)益的事情普遍存在，同時(shí)也是電腦病毒的重要傳播源頭。令人費(fèi)解的是，這些侵權(quán)行為不單單存在某幾個(gè)下載站，而是目前所有主流下載站的普遍行為。

根據(jù)火絨工程師的篩查，僅有少數(shù)不太知名的小下載站，不存在用戶侵權(quán)行為。

亂象一：強(qiáng)行捆綁安裝軟件成常態(tài)

▼

不知道從什么時(shí)候開(kāi)始，幾乎所有的下載站都開(kāi)始進(jìn)行各種各樣的捆綁安裝，用戶幾乎無(wú)法按照自己的意愿下載軟件。當(dāng)用戶下載軟件時(shí)，被強(qiáng)行、欺騙安裝一些自己并不需要的軟件，這已經(jīng)成為常態(tài)?？梢哉f(shuō)，整個(gè)下載站行業(yè)都在侵權(quán)。

這類(lèi)侵權(quán)行為基本可以分為三種方式：

1、誘導(dǎo)安裝

2、捆綁安裝

3、再打包捆綁

1、誘導(dǎo)安裝

請(qǐng)看“x迅網(wǎng)”的“微信電腦版2.1 正式版“下載頁(yè)面 http://www.yxdown.com/soft/252631.html 

【圖1】

下載到的下載器如下圖所示，大標(biāo)題是“微信電腦版2.1”。

注意左上角是樂(lè)游安裝程序，該安裝包不但不是“微信電腦版”的安裝包，而且安裝過(guò)程中還有很多默認(rèn)勾選框。

這些勾選項(xiàng)包括：赤月傳說(shuō)2、百度輸入法、360套裝、QQ瀏覽器、魯大師……等等。

【圖2】

【圖3】

【圖4】

安裝完成，其實(shí)安裝的是樂(lè)游安裝程序，以及上述默認(rèn)勾選項(xiàng)里的各種軟件。

唯獨(dú)沒(méi)有用戶本來(lái)要下載的“微信電腦版”。這是一種明顯的欺騙用戶的行為，當(dāng)用戶要下A時(shí)，得到的是B、C、D……，業(yè)內(nèi)稱(chēng)之為“誘導(dǎo)安裝”。

 2、捆綁安裝

無(wú)論下載的文件大小，下載站都會(huì)在顯著位置暗示用戶，有“高速下載通道”。

用戶通過(guò)“高速通道”下載到的文件是一個(gè)下載器，下載器在下載用戶需要的文件時(shí)，還會(huì)在不起眼的地方默認(rèn)勾選別的下載項(xiàng)，甚至不提示用戶直接捆綁下載別的軟件?！案咚傧螺d通道”其實(shí)是下載器，它的唯一作用就是捆綁安裝其他軟件。

以xx6下載站為例，進(jìn)入微信電腦版下載頁(yè)面，整個(gè)頁(yè)面除了廣告以外就是誘導(dǎo)用戶安裝下載器(圖中紅色區(qū)域)，而且即使用戶正確的點(diǎn)擊了圖中綠色按鈕的本地下載（圖5），也會(huì)用高速下載描述欺騙用戶使用下載器（圖6）。

【圖5  xx6下載站】

【圖6  xx6下載站】

還有很多比如“x軍軟件園”等老牌下載站，都有這個(gè)問(wèn)題 http://www.onlinedown.net/

【圖7  x軍軟件園】

【圖8  x軍軟件園】

從這些網(wǎng)站下載下來(lái)的高速下載器如下圖：

【圖9】

【圖10】

火絨工程師認(rèn)為：所謂的“下載器”和“高速下載通道”既沒(méi)有用處，也沒(méi)有存在的必要。

為了躲避這些“下載器”的侵?jǐn)_，用戶可以去某個(gè)軟件的官網(wǎng)下載產(chǎn)品，一般不用擔(dān)心下載到下載器。

這些“下載器”存在的意義就是為了捆綁安裝其他軟件。這些捆綁軟件無(wú)一例外都不是用戶當(dāng)時(shí)想要的，如果想要這些軟件，在下載站上都能找到。

總之，除了給用戶制造麻煩，所謂這些“高速下載通道”和“下載器”沒(méi)有任何作用。

  3、再打包捆綁

所謂的“再打包捆綁”也叫“二次打包”。

和上面所說(shuō)的下載器不同，這是將用戶要下載的軟件的安裝包，打包到另一個(gè)添加了捆綁軟件的安裝包中，讓用戶下載“一整包”軟件，包括用戶需要的，以及其他強(qiáng)行捆綁的其他軟件。

譬如，我們從“xx45軟件下載”（原x特http://www.duote.com/）下載的安裝包都是再打包的，而且下載的被二次打包的程序圖標(biāo)都和原來(lái)要下載的軟件一樣。

如圖所示，用戶在“xx45下載”上下載“微信電腦版”時(shí)，會(huì)同時(shí)被安裝2345安全衛(wèi)士、2345加速瀏覽器、2345網(wǎng)址導(dǎo)航、騰訊視頻（這些捆綁項(xiàng)會(huì)不定期變動(dòng)）。

【圖11】

【圖12】

亂象二：成為電腦病毒重要感染源

▼

下載站在捆綁安裝侵害用戶權(quán)益的同時(shí)，本身魚(yú)龍混雜，也是電腦病毒的重災(zāi)區(qū)。有的下載站對(duì)軟件產(chǎn)品審查不嚴(yán)，讓某些攜帶電腦病毒的軟件產(chǎn)品入駐，而某些流氓軟件天生就和電腦病毒有緊密聯(lián)系，攜帶病毒模塊、病毒下載器，甚至完整的病毒。 

同時(shí)，為了躲避安全軟件對(duì)捆綁下載等侵權(quán)行為的攔截，許多下載站會(huì)欺騙用戶關(guān)閉安全軟件，這更為電腦病毒的傳播打開(kāi)了綠燈。

 1、下載站的軟件攜帶病毒

火絨實(shí)驗(yàn)室跟蹤分析表明，某些和Ramnit類(lèi)似的老病毒目前依然流行，下載站是其重要的傳播通道，譬如知名下載站“x訊網(wǎng)”，在某段時(shí)間的補(bǔ)丁全部感染了Ramnit病毒：

http://www.yxdown.com/gongju/55654.html、http://www.yxdown.com/buding/62791.html

http://www.yxdown.com/gongju/63993.html、http://www.yxdown.com/gongju/64500.html

http://www.yxdown.com/gongju/65446.html、http://www.yxdown.com/gongju/62913.html

http://www.yxdown.com/gongju/55897.html、http://www.yxdown.com/gongju/55896.html

http://www.yxdown.com/gongju/36524.html、http://www.yxdown.com/gongju/54048.html

http://www.yxdown.com/gongju/47457.html、http://www.yxdown.com/gongju/24154.html

http://www.yxdown.com/gongju/24145.html、http://www.yxdown.com/gongju/49005.html

http://www.yxdown.com/gongju/53514.html、http://www.yxdown.com/gongju/54286.html

http://www.yxdown.com/buding/70521.html、http://www.yxdown.com/buding/69850.html

http://www.yxdown.com/gongju/63224.html、http://www.yxdown.com/gongju/34554.html

http://www.yxdown.com/gongju/24515.html、http://www.yxdown.com/gongju/24515.html

http://www.yxdown.com/buding/54571.html、http://www.yxdown.com/buding/33468.html

http://www.yxdown.com/buding/16229.html、http://www.yxdown.com/gongju/36885.html

http://www.yxdown.com/gongju/55274.html、http://www.yxdown.com/gongju/115988.html

http://www.yxdown.com/gongju/61981.html、http://www.yxdown.com/gongju/54577.html

http://www.yxdown.com/buding/64784.html、http://www.yxdown.com/buding/54551.html

其他下載站也因?yàn)闄z測(cè)、審查不嚴(yán)，時(shí)常有攜帶病毒的軟件產(chǎn)品出現(xiàn)。

譬如：

生死狙擊無(wú)敵輔助 透視+自動(dòng)開(kāi)槍+自瞄+武器修改 1.2

• http://www.guguzhu.com/ssjj/255381.html

CF外服LTB解鎖工具免費(fèi)版

• http://www.uzzf.com/soft/223164.html

若舊一鍵迅雷快鳥(niǎo)提速50M寬帶(迅雷快鳥(niǎo)網(wǎng)絡(luò)提速服務(wù)補(bǔ)丁)V1.0.1 綠色免費(fèi)版

• http://www.greenxf.com/soft/106599.html

 2、為躲避監(jiān)管，下載站誘導(dǎo)用戶關(guān)閉安全軟件

 很多下載站會(huì)用各種理由提示用戶，在下載軟件時(shí)關(guān)閉安全軟件，這就為病毒傳播打開(kāi)了方便之門(mén)。

舉例如下：

• http://www.yxdown.com/

【圖13】

• http://www.52z.com/soft/192772.html

【圖14】

一個(gè)叫“x普下載”的下載站還有專(zhuān)門(mén)的官方聲明，在申訴自己被殺毒軟件“誤殺”的同時(shí)，詳細(xì)告訴用戶如何關(guān)閉360殺毒、騰訊QQ管家和金山殺毒http://www.gpxz.com/diannao/changshi/377594.html

---

火絨工程師認(rèn)為，讓用戶關(guān)閉安全軟件有時(shí)有一定的合理性，但是一定要謹(jǐn)慎，這種行為很容易被病毒利用。

首先，破解工具、黑客工具、游戲登陸器等這類(lèi)包含侵權(quán)性質(zhì)的程序，有些會(huì)被安全軟件檢測(cè)為病毒，造成用戶無(wú)法使用。

其次，一些常見(jiàn)的加密加殼工具也會(huì)被某些安全軟件誤報(bào)為病毒，很多小軟件為了保護(hù)自己的知識(shí)產(chǎn)權(quán)使用了這些工具，由于長(zhǎng)期處于誤報(bào)和解決誤報(bào)這種狀態(tài)下，所以很多下載站也要求關(guān)閉或者添加白名單信任。

雷鋒網(wǎng)提示：上述兩種情況都有可能被病毒制造者利用，甚至久而久之成為用戶下載軟件時(shí)的習(xí)慣，危險(xiǎn)性非常大。因此關(guān)閉安全軟件時(shí)務(wù)必謹(jǐn)慎，首先要確保該下載站相對(duì)靠譜、嚴(yán)謹(jǐn)，其次減少關(guān)閉安全軟件的時(shí)間，下載完相應(yīng)的產(chǎn)品后立刻打開(kāi)安全軟件，恢復(fù)監(jiān)控等各種功能。

雷鋒網(wǎng)注：以上內(nèi)容為來(lái)自公眾號(hào)火絨安全，雷鋒網(wǎng)宅客頻道（letshome）授權(quán)轉(zhuǎn)載。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。