无忧启动论坛

标题: 【根治流氓病毒】向流氓病毒说:不!!!!!!!!!!!!! [打印本页]

作者: hfut    时间: 2021-8-15 08:35
标题: 【根治流氓病毒】向流氓病毒说:不!!!!!!!!!!!!!
本帖最后由 hfut 于 2021-8-15 08:56 编辑

一、        流氓病毒界定
流氓病毒是一种全新的病毒类型,病毒软件合法化、合法软件病毒化的恶果。
具有以下特征中的一种或多种:
1.  违背用户主观意愿的安装行为
后台直接捆绑安装且无提示;
通过诱骗安装;
通过恫吓安装;
虽给出安装与否的选项,但选项在视觉上不明显,选项在语义不明确、存在诱导,选项不可选,或超时后自动安装;
通过第三方渠道强制推广安装,然后把责任推卸给第三方;
冒充其他软件或模块安装;
产品卸载后仍保留部分功能模块,继续驻留式安装;
卸载时以复杂选项、或视觉干扰、或语义诱导用户,保留安装或进一步安装其他产品或模块;
通过软文及其他洗脑式宣传手段诱骗用户安装;
通过主站与其他颁发站点分别发布版本号相同但功能不同的程序,操纵用户端行为并逃避追责;
逼迫用户安装特定的版本。
2.  产品卸载困难
不在系统添加删除程序组件中提供卸载快捷方式;
不提供卸载程序和方法;
卸载时不完整卸载整个产品,保留服务等程序驻留;
卸载后预留下次安装的后门代码;
卸载时要求用户进行公式计算、图案识别等卸载无关行为以增加卸载难度;
卸载时设置复杂选项诱导用户以增加卸载难度;
卸载时将非卸载选项设置为醒目状态诱导用户进行非卸载操作;
卸载时故意大幅度延长时间,逼近用户丧失耐心后关闭卸载;
卸载时撒泼打滚要求用户不要卸载;
卸载时弹出诱导性网页以诱导用户再次点击下载;
替换或篡改系统文件,导致一旦卸载则系统即崩溃;
后台存在多个非必须的驻留进程并相互守护。
3.  篡改或锁定浏览器主页、自主弹出特定页面
直接修改注册表以篡改浏览器原有主页;
篡改用户各种浏览器快捷方式的路径后缀以强制打开特定主页;
直接植入或替换用户浏览器的快捷方式以打开特定主页;
通过驻留的后台进程并按一定逻辑打开特定页面;
通过注入系统进程并按一定逻辑打开特定页面;
通过向系统添加计划任务来定时打开特定页面;
通过脚本执行打开特定页面;
弹出窗口关闭困难;
用户关闭弹窗时会打开其他页面。
4.  推广内容违反公序良俗
内容低俗甚至涉及黄赌毒,或打黄赌毒擦边球;
内容信息违反科学常识;
内容存在价值观诱导;
弹窗干扰用户正常操作。
5.  恶意消耗用户资源
利用驻留程序或代码做分布式计算(挖矿等);
利用程序自动访问网络特定目标,生成大量推广点击数或推广流量;
通过多种安装方式,向用户系统强制或诱骗方式植入多个程序,以获取装机量收益;
擅自植入驱动,擅自添加注册表自动启动项;
擅自篡改用户环境的文件关联,指向自己的产品;
打着“加速”的旗号,掩盖感染用户系统后导致系统速度下降的事实。

6.  侵犯用户隐私
打着一些似乎“实用”功能的旗号驻留内存;
非法获取用户隐私信息;
借口安全扫描,窥探用户信息;
非法获取用户收藏夹、搜索关键字等信息;
非法获取用户词频信息用于大数据分析;
收集用户点击习惯、浏览习惯;
收集用户搜索关键字;
获取用户系统中软硬件信息;
有多媒体外设的系统中,擅自开启麦克风、摄像头记录用户信息;
打着修补安全漏洞名义,故意保留和开放某些漏洞,进而采取信息窃取行动。
二、        流氓病毒样本提取1.  搜索软件
模拟普通非计算机专业人员的各种使用操作,使用各种搜索引擎,搜索一些通用的软件。
2.  下载软件
使用常用的各种手段下载搜索到的软件。
3.  安装软件
按照常规操作,安装各种下载到的软件。
4.  监测安装行为
使用AdvancedRegistry Tracer,对安装前后的系统注册表生成全面的快照;安装运行结束后,比较这些快照,得到注册表篡改记录
安装前后分别生成系统文件列表,然后比较前后文件列表,得到文件植入和篡改记录。
5.  监测自启行为
分析注册表自动加载相关键值;
观察自动启动目录;
分析常用文件关联的篡改情况;
分析系统计划任务列表。
6.  监测运行及联网行为
关闭无关程序、结束无关进程后,运行DnsQuerySniffer(http://www.nirsoft.net/utils/dns_query_sniffer.html),监听联网网卡的通讯;
对前述下载到的软件进行安装,监测安装过程中安装程序的网络访问行为,得到在线安装其他程序的上游地址;
运行安装后的软件,不干预状态下持续运行24小时,同时监听其联网行为,得到其联网行为的相关地址;
通过“IP雷达”、Process Monitor(https://docs.microsoft.com/en-us/sysinternals/downloads/procmon)之类工具,监测软件运行中的实时访问行为,得到其实时访问状态记录;

持续运行24小时后,比较前后的文件列表,以监测其自动植入其他程序和文件的行为。

通过上述方法,可捕获大量流氓病毒的上游地址。
这些地址包括下载地址、弹窗内容地址等。
可以采用以下格式,一条地址一行,把它解析到本地环路地址,保存到c:\windpws\system32\driveers\etx\hosts,从而让它找不到自己的老窝,不能下载、不能弹出有效内容,实现根治的效果。
HOSTS文件格式示例:
127.0.0.1  www.abcwxy123.com
127.0.0.1  www.qwertyuiop.com
………………
对于拥有自己的DNS设备的单位用户,可以把上述地址植入DNS设备,对这些地址做强制解析,可实现企业全网的有效防护。
本办法不需要借助杀软(国产杀软大多已经演化成彻头彻尾的病毒),不需要程序,对用户完全透明。
目前已经捕获地址1900条,使用到HOSTS后效果极佳,各种病毒下载器完全失效。
如果病毒改用IP地址,那么我们同样可监测并捕获它的地址,纳入防火墙屏蔽之。

已经捕获的地址不方便公开分享(你懂的),病毒软件合法化的当下,用户只能自求多福。
如果你也对病毒安全感兴趣,可以私信,在提供你捕获的地址的前提下,分享已经捕获的地址给你。白伸手的恕不回复。



作者: ylac    时间: 2021-8-15 08:38
现在广告超烦人
作者: smalldimple    时间: 2021-8-15 08:42
总结的很到位!
作者: canghaisui    时间: 2021-8-15 09:07
谢谢楼主分享
作者: cuicongyuan    时间: 2021-8-15 09:07
留个记号
作者: wondaol    时间: 2021-8-15 09:14
前来观瞻
作者: 2010y8y8y8    时间: 2021-8-15 09:26
的确搞得大家很头疼,而且无法根治,远离这样的软件和系统吧。
作者: jkj    时间: 2021-8-15 09:49
向流氓病毒说:不!!

总结得很全面。
作者: 2012andyle113    时间: 2021-8-15 10:03
算是个方法吧,对小白不友好,也比较麻烦
一般稍微懂点的,其实只要弄个防火墙,不是自己点击的网络访问一律拒绝就没事了

作者: bfgxp    时间: 2021-8-15 10:15
感谢楼主分享方法。
作者: sxjltx    时间: 2021-8-15 10:18
谢谢楼主分享
作者: popxhy    时间: 2021-8-15 10:25
项目详细,这么多条,看来黑客们也是狠用心了啊
作者: lpsyuntao    时间: 2021-8-15 10:27
谢谢分享
作者: wsdyleon    时间: 2021-8-15 10:37
是的办法,貌似这种以前就有。但这个类似于疫情防控,不是治疗,是阻止传染路径
作者: lily9718    时间: 2021-8-15 10:41
谢谢分享
作者: junyee    时间: 2021-8-15 10:42
host 不支持通配符,用处不大。
作者: jswyh    时间: 2021-8-15 10:44
谢谢分享
作者: yincheng    时间: 2021-8-15 10:46
看这贴子的应该也没什么垃圾推广的
作者: d9o    时间: 2021-8-15 11:13
支持支持支持支持!
作者: MPFENG    时间: 2021-8-15 11:23

谢谢楼主分享
作者: aichong168    时间: 2021-8-15 11:42
路过学习一下,谢谢分享
作者: seawaycao    时间: 2021-8-15 12:09
谢谢分享!给力!
作者: 铿锵玫瑰    时间: 2021-8-15 12:30
2012andyle113 发表于 2021-8-15 10:03
算是个方法吧,对小白不友好,也比较麻烦
一般稍微懂点的,其实只要弄个防火墙,不是自己点击的网络访问一 ...

怎么让电脑知道不是用户点击的?
作者: 铿锵玫瑰    时间: 2021-8-15 12:33
要根治这种状况,还是需要网信管理部门出手。老百姓的电脑知识已经斗不过这些利益驱动下的不良企业。
作者: riser    时间: 2021-8-15 12:43
流氓软件算不算
作者: 不落的太阳    时间: 2021-8-15 12:51
资本的力量
作者: hfut    时间: 2021-8-15 13:08
铿锵玫瑰 发表于 2021-8-15 12:33
要根治这种状况,还是需要网信管理部门出手。老百姓的电脑知识已经斗不过这些利益驱动下的不良企业。

指望网信?病毒软件合法化不是正是他们纵容的么!!!
作者: hfut    时间: 2021-8-15 13:09
junyee 发表于 2021-8-15 10:42
host 不支持通配符,用处不大。

实体监测,实时捕获,抓一个是一个,干掉1900个地址后,目前效果已经极好了!什么下载器,什么捆绑安装,基本上都无效了。
作者: fengye0111    时间: 2021-8-15 14:10
前几天在一个下载站下一个软件,先是下来一个下载器,然后下载来的软件是个损坏的压缩包,而且体质也跟那个软件相差很多,纯粹是骗人下载他的全家桶的,虽然下载前把那些捆绑软件的勾去掉了,不想还是中招,最后装上火绒才把它们干掉。真他么的操蛋
作者: 1110    时间: 2021-8-15 14:13
softcnkiller了解一下?
作者: szwp    时间: 2021-8-15 15:06
https://github.com/VeleSila/yhosts
作者: zx6769    时间: 2021-8-15 15:09
谢楼主分享
作者: 铿锵玫瑰    时间: 2021-8-15 15:28
szwp 发表于 2021-8-15 15:06
https://github.com/VeleSila/yhosts

能看见内容,但不会下载,请指导,谢谢!
作者: dx163    时间: 2021-8-15 16:04
”已经捕获的地址不方便公开分享(你懂的),病毒软件合法化的当下,用户只能自求多福。
如果你也对病毒安全感兴趣,可以私信,在提供你捕获的地址的前提下,分享已经捕获的地址给你。白伸手的恕不回复。”  
对于小白们只能看看而已了。

作者: magicgenius    时间: 2021-8-15 19:55
根治? 名字挺大,可操作性不强!
作者: xzm1008    时间: 2021-8-15 22:22
流氓太多了,也没有哪个来管一下,不杀人是没有会怕的
作者: zengqcyxx    时间: 2021-8-16 01:09
铿锵玫瑰 发表于 2021-8-15 15:28
能看见内容,但不会下载,请指导,谢谢!

方法一、如果使用WINdows系统,将那个“文件”里的内容复制粘贴到C:\Windows\System32\drivers\etc\hosts,保存。
方法二、如果路由器支持SSH登陆,将那个“文件”里的内容复制粘贴到\etc\hosts,保存。
方法三、如果你的是“智能路由器”而且自带一些去广告插件的话,加上它可以自定义的话,将“文件”的网址复制粘贴进去让它自动导入。
。。。。。。。
作者: 铿锵玫瑰    时间: 2021-8-16 07:49
zengqcyxx 发表于 2021-8-16 01:09
方法一、如果使用WINdows系统,将那个“文件”里的内容复制粘贴到C:\Windows\System32\drivers\etc\hosts ...

感谢回复,您辛苦了!
作者: binyue1985    时间: 2021-8-16 07:58
蛮全的,学习下,感谢分享,流氓软件的确够烦的
作者: Climbing    时间: 2021-8-16 08:13
扬汤止沸,不如釜底抽薪:不装这些垃圾软件不就完了。非常简单的原则:国产软件能不装就不装,弹窗及广告软件坚决不装。
作者: 2623666    时间: 2021-8-16 08:45
流氓软件都多少年了  看来3.15都管不了
作者: aker    时间: 2021-8-16 10:09
昨天帮客户装系统,原来的系统里面浏览器,看图,pdf,压缩软件每样都有3~5个,基本都是数字命名的。
作者: 今夜有大风    时间: 2021-8-16 12:53
谢谢楼主分享
作者: yinbinly    时间: 2021-8-16 14:50
楼主真是有心人,我测试过屏蔽EXE 文件夹设置权限 防火墙屏蔽  hosts 不过因为工程量巨大  都放弃了  楼主让我看到了希望
作者: freesoft00    时间: 2021-8-16 15:05
广告流氓软件的静默卸载程序其实也可以收集一下。
因为平时遇到的很多弹广告的电脑,只是需要把广告软件卸载掉。
一个一个卸载比较麻烦,有时候会使用一些系统中已经有的软件管家,用软件管家卸载了不用的软件,最后再把软件管家相关连带的安全卫士也卸载了。
因为很多电脑不是很重新装系统,所以只要保证能正常运行就可以了。
作者: cduser    时间: 2021-8-18 08:40
弄个成品才能广谱抗菌!理念的东西只有大神才能体会……




欢迎光临 无忧启动论坛 (http://bbs.c3.wuyou.net/) Powered by Discuz! X3.3