火絨實驗室通過長期研究和跟蹤發(fā)現(xiàn)，下載網(wǎng)站已經(jīng)成為目前PC互聯(lián)網(wǎng)安全威脅的重災(zāi)區(qū)。不光各種侵害用戶權(quán)益的事情普遍存在，同時也是電腦病毒的重要傳播源頭。令人費解的是，這些侵權(quán)行為不單單存在某幾個下載站，而是目前所有主流下載站的普遍行為。

根據(jù)火絨工程師的篩查，僅有少數(shù)不太知名的小下載站，不存在用戶侵權(quán)行為。

亂象一：強行捆綁安裝軟件成常態(tài)

▼

不知道從什么時候開始，幾乎所有的下載站都開始進行各種各樣的捆綁安裝，用戶幾乎無法按照自己的意愿下載軟件。當用戶下載軟件時，被強行、欺騙安裝一些自己并不需要的軟件，這已經(jīng)成為常態(tài)?？梢哉f，整個下載站行業(yè)都在侵權(quán)。

這類侵權(quán)行為基本可以分為三種方式：

1、誘導安裝

2、捆綁安裝

3、再打包捆綁

1、誘導安裝

請看“x迅網(wǎng)”的“微信電腦版2.1 正式版“下載頁面 http://www.yxdown.com/soft/252631.html 

【圖1】

下載到的下載器如下圖所示，大標題是“微信電腦版2.1”。

注意左上角是樂游安裝程序，該安裝包不但不是“微信電腦版”的安裝包，而且安裝過程中還有很多默認勾選框。

這些勾選項包括：赤月傳說2、百度輸入法、360套裝、QQ瀏覽器、魯大師……等等。

【圖2】

【圖3】

【圖4】

安裝完成，其實安裝的是樂游安裝程序，以及上述默認勾選項里的各種軟件。

唯獨沒有用戶本來要下載的“微信電腦版”。這是一種明顯的欺騙用戶的行為，當用戶要下A時，得到的是B、C、D……，業(yè)內(nèi)稱之為“誘導安裝”。

 2、捆綁安裝

無論下載的文件大小，下載站都會在顯著位置暗示用戶，有“高速下載通道”。

用戶通過“高速通道”下載到的文件是一個下載器，下載器在下載用戶需要的文件時，還會在不起眼的地方默認勾選別的下載項，甚至不提示用戶直接捆綁下載別的軟件?！案咚傧螺d通道”其實是下載器，它的唯一作用就是捆綁安裝其他軟件。

以xx6下載站為例，進入微信電腦版下載頁面，整個頁面除了廣告以外就是誘導用戶安裝下載器(圖中紅色區(qū)域)，而且即使用戶正確的點擊了圖中綠色按鈕的本地下載（圖5），也會用高速下載描述欺騙用戶使用下載器（圖6）。

【圖5  xx6下載站】

【圖6  xx6下載站】

還有很多比如“x軍軟件園”等老牌下載站，都有這個問題 http://www.onlinedown.net/

【圖7  x軍軟件園】

【圖8  x軍軟件園】

從這些網(wǎng)站下載下來的高速下載器如下圖：

【圖9】

【圖10】

火絨工程師認為：所謂的“下載器”和“高速下載通道”既沒有用處，也沒有存在的必要。

為了躲避這些“下載器”的侵擾，用戶可以去某個軟件的官網(wǎng)下載產(chǎn)品，一般不用擔心下載到下載器。

這些“下載器”存在的意義就是為了捆綁安裝其他軟件。這些捆綁軟件無一例外都不是用戶當時想要的，如果想要這些軟件，在下載站上都能找到。

總之，除了給用戶制造麻煩，所謂這些“高速下載通道”和“下載器”沒有任何作用。

  3、再打包捆綁

所謂的“再打包捆綁”也叫“二次打包”。

和上面所說的下載器不同，這是將用戶要下載的軟件的安裝包，打包到另一個添加了捆綁軟件的安裝包中，讓用戶下載“一整包”軟件，包括用戶需要的，以及其他強行捆綁的其他軟件。

譬如，我們從“xx45軟件下載”（原x特http://www.duote.com/）下載的安裝包都是再打包的，而且下載的被二次打包的程序圖標都和原來要下載的軟件一樣。

如圖所示，用戶在“xx45下載”上下載“微信電腦版”時，會同時被安裝2345安全衛(wèi)士、2345加速瀏覽器、2345網(wǎng)址導航、騰訊視頻（這些捆綁項會不定期變動）。

【圖11】

【圖12】

亂象二：成為電腦病毒重要感染源

▼

下載站在捆綁安裝侵害用戶權(quán)益的同時，本身魚龍混雜，也是電腦病毒的重災(zāi)區(qū)。有的下載站對軟件產(chǎn)品審查不嚴，讓某些攜帶電腦病毒的軟件產(chǎn)品入駐，而某些流氓軟件天生就和電腦病毒有緊密聯(lián)系，攜帶病毒模塊、病毒下載器，甚至完整的病毒。 

同時，為了躲避安全軟件對捆綁下載等侵權(quán)行為的攔截，許多下載站會欺騙用戶關(guān)閉安全軟件，這更為電腦病毒的傳播打開了綠燈。

 1、下載站的軟件攜帶病毒

火絨實驗室跟蹤分析表明，某些和Ramnit類似的老病毒目前依然流行，下載站是其重要的傳播通道，譬如知名下載站“x訊網(wǎng)”，在某段時間的補丁全部感染了Ramnit病毒：

http://www.yxdown.com/gongju/55654.html、http://www.yxdown.com/buding/62791.html

http://www.yxdown.com/gongju/63993.html、http://www.yxdown.com/gongju/64500.html

http://www.yxdown.com/gongju/65446.html、http://www.yxdown.com/gongju/62913.html

http://www.yxdown.com/gongju/55897.html、http://www.yxdown.com/gongju/55896.html

http://www.yxdown.com/gongju/36524.html、http://www.yxdown.com/gongju/54048.html

http://www.yxdown.com/gongju/47457.html、http://www.yxdown.com/gongju/24154.html

http://www.yxdown.com/gongju/24145.html、http://www.yxdown.com/gongju/49005.html

http://www.yxdown.com/gongju/53514.html、http://www.yxdown.com/gongju/54286.html

http://www.yxdown.com/buding/70521.html、http://www.yxdown.com/buding/69850.html

http://www.yxdown.com/gongju/63224.html、http://www.yxdown.com/gongju/34554.html

http://www.yxdown.com/gongju/24515.html、http://www.yxdown.com/gongju/24515.html

http://www.yxdown.com/buding/54571.html、http://www.yxdown.com/buding/33468.html

http://www.yxdown.com/buding/16229.html、http://www.yxdown.com/gongju/36885.html

http://www.yxdown.com/gongju/55274.html、http://www.yxdown.com/gongju/115988.html

http://www.yxdown.com/gongju/61981.html、http://www.yxdown.com/gongju/54577.html

http://www.yxdown.com/buding/64784.html、http://www.yxdown.com/buding/54551.html

其他下載站也因為檢測、審查不嚴，時常有攜帶病毒的軟件產(chǎn)品出現(xiàn)。

譬如：

生死狙擊無敵輔助 透視+自動開槍+自瞄+武器修改 1.2

• http://www.guguzhu.com/ssjj/255381.html

CF外服LTB解鎖工具免費版

• http://www.uzzf.com/soft/223164.html

若舊一鍵迅雷快鳥提速50M寬帶(迅雷快鳥網(wǎng)絡(luò)提速服務(wù)補丁)V1.0.1 綠色免費版

• http://www.greenxf.com/soft/106599.html

 2、為躲避監(jiān)管，下載站誘導用戶關(guān)閉安全軟件

 很多下載站會用各種理由提示用戶，在下載軟件時關(guān)閉安全軟件，這就為病毒傳播打開了方便之門。

舉例如下：

• http://www.yxdown.com/

【圖13】

• http://www.52z.com/soft/192772.html

【圖14】

一個叫“x普下載”的下載站還有專門的官方聲明，在申訴自己被殺毒軟件“誤殺”的同時，詳細告訴用戶如何關(guān)閉360殺毒、騰訊QQ管家和金山殺毒http://www.gpxz.com/diannao/changshi/377594.html

---

火絨工程師認為，讓用戶關(guān)閉安全軟件有時有一定的合理性，但是一定要謹慎，這種行為很容易被病毒利用。

首先，破解工具、黑客工具、游戲登陸器等這類包含侵權(quán)性質(zhì)的程序，有些會被安全軟件檢測為病毒，造成用戶無法使用。

其次，一些常見的加密加殼工具也會被某些安全軟件誤報為病毒，很多小軟件為了保護自己的知識產(chǎn)權(quán)使用了這些工具，由于長期處于誤報和解決誤報這種狀態(tài)下，所以很多下載站也要求關(guān)閉或者添加白名單信任。

雷鋒網(wǎng)提示：上述兩種情況都有可能被病毒制造者利用，甚至久而久之成為用戶下載軟件時的習慣，危險性非常大。因此關(guān)閉安全軟件時務(wù)必謹慎，首先要確保該下載站相對靠譜、嚴謹，其次減少關(guān)閉安全軟件的時間，下載完相應(yīng)的產(chǎn)品后立刻打開安全軟件，恢復監(jiān)控等各種功能。

雷鋒網(wǎng)注：以上內(nèi)容為來自公眾號火絨安全，雷鋒網(wǎng)宅客頻道（letshome）授權(quán)轉(zhuǎn)載。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。