火绒揭秘:装机工具水有多深?能给自己加白
火绒揭秘:装机工具水有多深?能给自己加白
“万事皆可重装系统来解决”。在当下,用户对于重装系统的需求催生了一键安装、一键还原等装机工具被疯狂开发。为了从中获利,不良开发者普遍在工具中夹带私货搞小动作,严重侵害用户利益。比如曾经知名的第三方装机工具“老毛桃”、“大白菜”“U深度”等均被火绒曝出携带病毒,执行删除杀软、劫持篡改浏览器等恶意行为。
就在近日,火绒又接到用户反馈,在使用一款名为“装机助理”的软件重装系统后,安装其他软件会发现软件配置被篡改的情况。
火绒工程师对其进行溯源分析,发现“装机助理”软件确实携带恶意模块,会在系统重装首次启动后,释放安全软件、浏览器、影音播放等众多常见软件的恶意配置文件或添加注册表项,由于这些配置文件存储用户相关的配置项,当这些软件被安装后,会把这些配置当作是上次安装时留下的用户配置,从而被加载并生效,导致用户被劫持首页、添加推广链接等。
根据我们复现发现,具体来说:
1、恶意模块会释放360,腾讯电脑管家,火绒等安全软件配置文件,用于添加信任或锁定首页。
2、恶意模块会通过释放恶意浏览器配置文件和添加系统收藏夹的方式,劫持首页和新标签页,添加收藏夹、书签等。
3、除此之外,恶意模块会在桌面上添加快捷方式,指向推广链接程序,目前推广链接有百度搜索, 2345游戏, 京东领券中心,六间房直播。
4、最后,恶意模块还会释放加载驱动文件,对访问的搜索导航以及装机网站等链接进行劫持。劫持链接的配置通过云控下发。
针对“装机助理”软件带来的恶意影响,火绒用户无需担心:如火绒软件安装早于上述流氓软件,可直接对该装机工具进行拦截查杀;如“装机助理”软件安装早于火绒软件导致受影响,用户可通过清空火绒“信任区”,进行“全盘查杀”;或直接联系火绒工程师解决问题。
讽刺的是,我们在该软件官网首页可以看到其宣传语赫然标注:最好的重装软件。在具体介绍界面甚至公开表示“软件绿色安全,百分百安全,无任何病毒”。
目前,火绒已对该网址进行拦截。
事实上,当我们在搜索平台搜索“装机”等关键字时,显示的多数装机工具(利用购买搜索排名尽可能展现)都存在损害用户权益的行为。火绒也一直在对其进行曝光披露,详情见附录的报告链接。
在此, 火绒工程师提醒用户,类似于“装机助理”的第三方装机工具,一定要谨慎使用:
1、谨慎下载并使用第三方网站的系统、工具、软件等。如需使用,尽量选择官方或正规渠道进行下载。
2、安装可靠的安全软件,并开启相关防护功能,拦截病毒和恶意软件,阻止注册表等信息被篡改,防止主页被劫持。
当然,如果遇到相关问题也可以直接通过以下方式,直接向我们反馈求助:
1、拨打电话400-998-3555
2、通过火绒官方论坛反馈
3、邮箱:seclab@huorong.cn
4、微信、微博、头条、知乎、B站平台搜索【火绒安全实验室】私信求助。
补充阅读链接:
一、“装机助理”原报告分析
“装机助理”软件劫持浏览器、添加推广链接 火绒可查杀
https://bbs.huorong.cn/thread-82957-1-1.html