无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
查看: 7785|回复: 44
打印 上一主题 下一主题

[原创] 【根治流氓病毒】向流氓病毒说:不!!!!!!!!!!!!!

    [复制链接]
跳转到指定楼层
1#
发表于 2021-8-15 08:35:01 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
本帖最后由 hfut 于 2021-8-15 08:56 编辑

一、        流氓病毒界定
流氓病毒是一种全新的病毒类型,病毒软件合法化、合法软件病毒化的恶果。
具有以下特征中的一种或多种:
1.  违背用户主观意愿的安装行为
后台直接捆绑安装且无提示;
通过诱骗安装;
通过恫吓安装;
虽给出安装与否的选项,但选项在视觉上不明显,选项在语义不明确、存在诱导,选项不可选,或超时后自动安装;
通过第三方渠道强制推广安装,然后把责任推卸给第三方;
冒充其他软件或模块安装;
产品卸载后仍保留部分功能模块,继续驻留式安装;
卸载时以复杂选项、或视觉干扰、或语义诱导用户,保留安装或进一步安装其他产品或模块;
通过软文及其他洗脑式宣传手段诱骗用户安装;
通过主站与其他颁发站点分别发布版本号相同但功能不同的程序,操纵用户端行为并逃避追责;
逼迫用户安装特定的版本。
2.  产品卸载困难
不在系统添加删除程序组件中提供卸载快捷方式;
不提供卸载程序和方法;
卸载时不完整卸载整个产品,保留服务等程序驻留;
卸载后预留下次安装的后门代码;
卸载时要求用户进行公式计算、图案识别等卸载无关行为以增加卸载难度;
卸载时设置复杂选项诱导用户以增加卸载难度;
卸载时将非卸载选项设置为醒目状态诱导用户进行非卸载操作;
卸载时故意大幅度延长时间,逼近用户丧失耐心后关闭卸载;
卸载时撒泼打滚要求用户不要卸载;
卸载时弹出诱导性网页以诱导用户再次点击下载;
替换或篡改系统文件,导致一旦卸载则系统即崩溃;
后台存在多个非必须的驻留进程并相互守护。
3.  篡改或锁定浏览器主页、自主弹出特定页面
直接修改注册表以篡改浏览器原有主页;
篡改用户各种浏览器快捷方式的路径后缀以强制打开特定主页;
直接植入或替换用户浏览器的快捷方式以打开特定主页;
通过驻留的后台进程并按一定逻辑打开特定页面;
通过注入系统进程并按一定逻辑打开特定页面;
通过向系统添加计划任务来定时打开特定页面;
通过脚本执行打开特定页面;
弹出窗口关闭困难;
用户关闭弹窗时会打开其他页面。
4.  推广内容违反公序良俗
内容低俗甚至涉及黄赌毒,或打黄赌毒擦边球;
内容信息违反科学常识;
内容存在价值观诱导;
弹窗干扰用户正常操作。
5.  恶意消耗用户资源
利用驻留程序或代码做分布式计算(挖矿等);
利用程序自动访问网络特定目标,生成大量推广点击数或推广流量;
通过多种安装方式,向用户系统强制或诱骗方式植入多个程序,以获取装机量收益;
擅自植入驱动,擅自添加注册表自动启动项;
擅自篡改用户环境的文件关联,指向自己的产品;
打着“加速”的旗号,掩盖感染用户系统后导致系统速度下降的事实。

6.  侵犯用户隐私
打着一些似乎“实用”功能的旗号驻留内存;
非法获取用户隐私信息;
借口安全扫描,窥探用户信息;
非法获取用户收藏夹、搜索关键字等信息;
非法获取用户词频信息用于大数据分析;
收集用户点击习惯、浏览习惯;
收集用户搜索关键字;
获取用户系统中软硬件信息;
有多媒体外设的系统中,擅自开启麦克风、摄像头记录用户信息;
打着修补安全漏洞名义,故意保留和开放某些漏洞,进而采取信息窃取行动。
二、        流氓病毒样本提取1.  搜索软件
模拟普通非计算机专业人员的各种使用操作,使用各种搜索引擎,搜索一些通用的软件。
2.  下载软件
使用常用的各种手段下载搜索到的软件。
3.  安装软件
按照常规操作,安装各种下载到的软件。
4.  监测安装行为
使用AdvancedRegistry Tracer,对安装前后的系统注册表生成全面的快照;安装运行结束后,比较这些快照,得到注册表篡改记录
安装前后分别生成系统文件列表,然后比较前后文件列表,得到文件植入和篡改记录。
5.  监测自启行为
分析注册表自动加载相关键值;
观察自动启动目录;
分析常用文件关联的篡改情况;
分析系统计划任务列表。
6.  监测运行及联网行为
关闭无关程序、结束无关进程后,运行DnsQuerySniffer(http://www.nirsoft.net/utils/dns_query_sniffer.html),监听联网网卡的通讯;
对前述下载到的软件进行安装,监测安装过程中安装程序的网络访问行为,得到在线安装其他程序的上游地址;
运行安装后的软件,不干预状态下持续运行24小时,同时监听其联网行为,得到其联网行为的相关地址;
通过“IP雷达”、Process Monitor(https://docs.microsoft.com/en-us/sysinternals/downloads/procmon)之类工具,监测软件运行中的实时访问行为,得到其实时访问状态记录;

持续运行24小时后,比较前后的文件列表,以监测其自动植入其他程序和文件的行为。

通过上述方法,可捕获大量流氓病毒的上游地址。
这些地址包括下载地址、弹窗内容地址等。
可以采用以下格式,一条地址一行,把它解析到本地环路地址,保存到c:\windpws\system32\driveers\etx\hosts,从而让它找不到自己的老窝,不能下载、不能弹出有效内容,实现根治的效果。
HOSTS文件格式示例:
127.0.0.1  www.abcwxy123.com
127.0.0.1  www.qwertyuiop.com
………………
对于拥有自己的DNS设备的单位用户,可以把上述地址植入DNS设备,对这些地址做强制解析,可实现企业全网的有效防护。
本办法不需要借助杀软(国产杀软大多已经演化成彻头彻尾的病毒),不需要程序,对用户完全透明。
目前已经捕获地址1900条,使用到HOSTS后效果极佳,各种病毒下载器完全失效。
如果病毒改用IP地址,那么我们同样可监测并捕获它的地址,纳入防火墙屏蔽之。

已经捕获的地址不方便公开分享(你懂的),病毒软件合法化的当下,用户只能自求多福。
如果你也对病毒安全感兴趣,可以私信,在提供你捕获的地址的前提下,分享已经捕获的地址给你。白伸手的恕不回复。


评分

参与人数 11无忧币 +43 收起 理由
董大 + 5 赞一个!
luckyjiana + 1 赞一个!
tfzxc + 2 赞一个!
gailium + 4 要是工具能分享一下就完美了
qq2348227 + 5 很给力!
新空气 + 5
whyme22 + 5
MPFENG + 5 赞一个!
lemonle79 + 5
yincheng + 1
freesoft00 + 5

查看全部评分

2#
发表于 2021-8-15 08:38:17 | 只看该作者
现在广告超烦人
回复

使用道具 举报

3#
发表于 2021-8-15 08:42:47 | 只看该作者
总结的很到位!
回复

使用道具 举报

4#
发表于 2021-8-15 09:07:02 | 只看该作者
谢谢楼主分享
回复

使用道具 举报

5#
发表于 2021-8-15 09:07:48 | 只看该作者
留个记号
回复

使用道具 举报

6#
发表于 2021-8-15 09:14:22 | 只看该作者
前来观瞻
回复

使用道具 举报

7#
发表于 2021-8-15 09:26:33 | 只看该作者
的确搞得大家很头疼,而且无法根治,远离这样的软件和系统吧。
回复

使用道具 举报

8#
发表于 2021-8-15 09:49:09 | 只看该作者
向流氓病毒说:不!!

总结得很全面。
回复

使用道具 举报

9#
发表于 2021-8-15 10:03:59 | 只看该作者
算是个方法吧,对小白不友好,也比较麻烦
一般稍微懂点的,其实只要弄个防火墙,不是自己点击的网络访问一律拒绝就没事了

点评

怎么让电脑知道不是用户点击的?  详情 回复 发表于 2021-8-15 12:30
回复

使用道具 举报

10#
发表于 2021-8-15 10:15:57 | 只看该作者
感谢楼主分享方法。
回复

使用道具 举报

11#
发表于 2021-8-15 10:18:44 | 只看该作者
谢谢楼主分享
回复

使用道具 举报

12#
发表于 2021-8-15 10:25:20 | 只看该作者
项目详细,这么多条,看来黑客们也是狠用心了啊
回复

使用道具 举报

13#
发表于 2021-8-15 10:27:54 来自手机 | 只看该作者
谢谢分享
回复

使用道具 举报

14#
发表于 2021-8-15 10:37:41 来自手机 | 只看该作者
是的办法,貌似这种以前就有。但这个类似于疫情防控,不是治疗,是阻止传染路径
回复

使用道具 举报

15#
发表于 2021-8-15 10:41:48 | 只看该作者
谢谢分享
回复

使用道具 举报

16#
发表于 2021-8-15 10:42:21 | 只看该作者
host 不支持通配符,用处不大。

点评

实体监测,实时捕获,抓一个是一个,干掉1900个地址后,目前效果已经极好了!什么下载器,什么捆绑安装,基本上都无效了。  详情 回复 发表于 2021-8-15 13:09
回复

使用道具 举报

17#
发表于 2021-8-15 10:44:17 | 只看该作者
谢谢分享
回复

使用道具 举报

18#
发表于 2021-8-15 10:46:54 | 只看该作者
看这贴子的应该也没什么垃圾推广的
回复

使用道具 举报

19#
发表于 2021-8-15 11:13:56 | 只看该作者
支持支持支持支持!
回复

使用道具 举报

20#
发表于 2021-8-15 11:23:16 | 只看该作者

谢谢楼主分享
回复

使用道具 举报

21#
发表于 2021-8-15 11:42:15 | 只看该作者
路过学习一下,谢谢分享
回复

使用道具 举报

22#
发表于 2021-8-15 12:09:12 | 只看该作者
谢谢分享!给力!
回复

使用道具 举报

23#
发表于 2021-8-15 12:30:03 | 只看该作者
2012andyle113 发表于 2021-8-15 10:03
算是个方法吧,对小白不友好,也比较麻烦
一般稍微懂点的,其实只要弄个防火墙,不是自己点击的网络访问一 ...

怎么让电脑知道不是用户点击的?
回复

使用道具 举报

24#
发表于 2021-8-15 12:33:17 | 只看该作者
要根治这种状况,还是需要网信管理部门出手。老百姓的电脑知识已经斗不过这些利益驱动下的不良企业。

点评

指望网信?病毒软件合法化不是正是他们纵容的么!!!  详情 回复 发表于 2021-8-15 13:08
回复

使用道具 举报

25#
发表于 2021-8-15 12:43:00 | 只看该作者
流氓软件算不算
回复

使用道具 举报

26#
发表于 2021-8-15 12:51:25 | 只看该作者
资本的力量
回复

使用道具 举报

27#
 楼主| 发表于 2021-8-15 13:08:22 | 只看该作者
铿锵玫瑰 发表于 2021-8-15 12:33
要根治这种状况,还是需要网信管理部门出手。老百姓的电脑知识已经斗不过这些利益驱动下的不良企业。

指望网信?病毒软件合法化不是正是他们纵容的么!!!
回复

使用道具 举报

28#
 楼主| 发表于 2021-8-15 13:09:21 | 只看该作者
junyee 发表于 2021-8-15 10:42
host 不支持通配符,用处不大。

实体监测,实时捕获,抓一个是一个,干掉1900个地址后,目前效果已经极好了!什么下载器,什么捆绑安装,基本上都无效了。
回复

使用道具 举报

29#
发表于 2021-8-15 14:10:37 | 只看该作者
前几天在一个下载站下一个软件,先是下来一个下载器,然后下载来的软件是个损坏的压缩包,而且体质也跟那个软件相差很多,纯粹是骗人下载他的全家桶的,虽然下载前把那些捆绑软件的勾去掉了,不想还是中招,最后装上火绒才把它们干掉。真他么的操蛋
回复

使用道具 举报

30#
发表于 2021-8-15 14:13:09 | 只看该作者
softcnkiller了解一下?
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-11-16 05:07

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表