全方面剖析3721!看流氓软件如何流氓(1)
第1页:3721及上网助手安装过程剖析
本文转自工大网安,文章内容不代表本站观点
3721作为一种可自动安装的、普及率极广的一种网络程序,近年来对之的争议颇多。本文试图从安装、卸载工、服务、系统影响等各个方面列举系列客观事实,有关观点仅代表笔者个人意见,拿出来与大方之家商榷,相信大家见仁见智各有自己的结论,同时也希望以此引起有关部门的注意。
测试环境:VMWare虚拟机,共享主机连接,以独立的公网IP 地址上网;
操作系统:Windows XP Pro SP2;
安装文件:文件管理Total Commander、注册表跟踪工具Advanced Registry Tracer、抓图工具UltraSnap、打字必须的极点五笔输入法;
本文部分图片为节省篇幅采用了以重叠的方式显示多幅图片内容。
1、安装推广由“反复提示”式为主为转向捆绑为主
自从Windows XP SP2推出加强的安全特性后,以前频繁出现的3721安装提示被进行了有效抑制,因此其推广安装方式除传统的通过浏览器植入安装、直接下载安装外,又开拓了在某些共享软件和免费软件中捆绑的方式进行安装。
新的捆绑安装方式,虽然有安装选项,但对于习惯了“一路回车法”安装软件的用户,被顺手装入系统的可能性极大!
2、“一拖三”的安装方式,偷偷植入另外模块
如果被安装上上网助手,则实际上同时被植入系统的并非上网助手一个程序,而是同时另外被静默地植入了“地址栏搜索”和“搜索助手”这两套独立的程序。
卸载上网助手时,额外植入的两套程序不会被卸载;卸载每一套程序时,卸载对话框中都添加保留另外模块的选项,以实现非刻意卸载情况下的自我交叉修复。
3、完善的自我保护机制
从安装、保护、卸载、修复几个环节来看,各个环节环环相扣。
任何一环没有正确处理,则就无法实现表面的干净卸载(真正彻底卸载除非手工清理,否则无法实现完全卸载,后文详述)。