火绒揭秘:装机工具水有多深?能给自己加白

2024-04-22 17:21:34 浏览数 (1)

“万事皆可重装系统来解决”。在当下,用户对于重装系统的需求催生了一键安装、一键还原等装机工具被疯狂开发。为了从中获利,不良开发者普遍在工具中夹带私货搞小动作,严重侵害用户利益。比如曾经知名的第三方装机工具“老毛桃”、“大白菜”“U深度”等均被火绒曝出携带病毒,执行删除杀软、劫持篡改浏览器等恶意行为。

就在近日,火绒又接到用户反馈,在使用一款名为“装机助理”的软件重装系统后,安装其他软件会发现软件配置被篡改的情况。

 图:装机助理工具界面 图:装机助理工具界面

火绒工程师对其进行溯源分析,发现“装机助理”软件确实携带恶意模块,会在系统重装首次启动后,释放安全软件、浏览器、影音播放等众多常见软件的恶意配置文件或添加注册表项,由于这些配置文件存储用户相关的配置项,当这些软件被安装后,会把这些配置当作是上次安装时留下的用户配置,从而被加载并生效,导致用户被劫持首页、添加推广链接等。

图:受影响的软件图:受影响的软件

图:以浏览器受影响为例示意图图:以浏览器受影响为例示意图

根据我们复现发现,具体来说:

1、恶意模块会释放360,腾讯电脑管家,火绒等安全软件配置文件,用于添加信任或锁定首页。

图:360信任区图:360信任区

2、恶意模块会通过释放恶意浏览器配置文件和添加系统收藏夹的方式,劫持首页和新标签页,添加收藏夹、书签等。

图:被劫持的IE首页及收藏夹图:被劫持的IE首页及收藏夹

3、除此之外,恶意模块会在桌面上添加快捷方式,指向推广链接程序,目前推广链接有百度搜索, 2345游戏, 京东领券中心,六间房直播。

图:推广快捷方式图:推广快捷方式

4、最后,恶意模块还会释放加载驱动文件,对访问的搜索导航以及装机网站等链接进行劫持。劫持链接的配置通过云控下发。

图:部分劫持链接配置图:部分劫持链接配置

针对“装机助理”软件带来的恶意影响,火绒用户无需担心:如火绒软件安装早于上述流氓软件,可直接对该装机工具进行拦截查杀;如“装机助理”软件安装早于火绒软件导致受影响,用户可通过清空火绒“信任区”,进行“全盘查杀”;或直接联系火绒工程师解决问题。

讽刺的是,我们在该软件官网首页可以看到其宣传语赫然标注:最好的重装软件。在具体介绍界面甚至公开表示“软件绿色安全,百分百安全,无任何病毒”。

目前,火绒已对该网址进行拦截。

事实上,当我们在搜索平台搜索“装机”等关键字时,显示的多数装机工具(利用购买搜索排名尽可能展现)都存在损害用户权益的行为。火绒也一直在对其进行曝光披露,详情见附录的报告链接。

在此, 火绒工程师提醒用户,类似于“装机助理”的第三方装机工具,一定要谨慎使用:

1、谨慎下载并使用第三方网站的系统、工具、软件等。如需使用,尽量选择官方或正规渠道进行下载。

2、安装可靠的安全软件,并开启相关防护功能,拦截病毒和恶意软件,阻止注册表等信息被篡改,防止主页被劫持。

当然,如果遇到相关问题也可以直接通过以下方式,直接向我们反馈求助:

1、拨打电话400-998-3555

2、通过火绒官方论坛反馈

3、邮箱:seclab@huorong.cn

4、微信、微博、头条、知乎、B站平台搜索【火绒安全实验室】私信求助。

补充阅读链接:

一、“装机助理”原报告分析

“装机助理”软件劫持浏览器、添加推广链接 火绒可查杀

https://bbs.huorong.cn/thread-82957-1-1.html

0 人点赞