如今,在没有附加软件捆绑的情况下,从其原始格式的官方来源下载程序越来越难了。
专门从事所谓的“下载助手”或“下载经理”的公司声称:
- 为用户提供增值服务,根据用户的需求提供额外的方案建议。
- 为软件制造商提供一种将他们的免费应用程序货币化的方法。
让我们通过检查Adobe Flash Player的安装程序来自己看看。具体情况如下:
MD5: d549def7dd9006954839a187304e3835 imphash: 884310b1928934402ea6fec1dbd3cf5e .exe文件大小:809.0 KB MD5: d549def7dd9006954839a187304e3835 imphash: 884310b1928934402ea6fec1dbd3cf5e
开箱
我们注意到的第一件事是,无论程序是在真实的物理机器上启动还是在虚拟机上启动,它的行为都是不同的,如下图所示:
在VirtualBox这样的虚拟机中,安装程序跳过所有捆绑的优惠,直接进入Flash Player。
通过反向工程安装程序,我们可以确认检测到虚拟机:“VirtualMachine模式-远程提供禁用”
这可能有几个原因:
- 避免不必要的印象和“虚假”系统的安装会扭曲参数。
- 当安装在自动沙箱上或由安全研究人员手动安装时,显示为“干净的”安装程序。
反虚拟机行为并不一定意味着应用程序是恶意的,但它是许多恶意软件作者使用的东西。
时间戳
该程序编写的日期是1992年6月19日,甚至早于PUPs的存在:
通过使用旧的时间戳,程序看起来不那么可疑,这是我们在某些恶意软件样本中观察到的一种技术。
(编辑)@Hexacorn评论说,这其实是一个错误用Delphi编程语言。
数字足迹
该文件是由油炸饼干有限公司。数字证书是对真实性的信任,但可以是滥用当然也可以用来“提高”一个项目的可信度。
证书的细节显示,该公司位于特拉维夫,以色列和一个VirusTotal扫描暗示与…的联系InstallCore,一个“数字内容发布平台”。
这两家公司之间的联系可以从这个博客声明:
2013年初,Fried Cookie自豪地宣布与installCore正式合作。必威客服app我们现在都在ironSource产品的保护伞下。
报价
第一个报价不能被选择退出,你必须接受它,以继续下去:
这一强制服务安装了Vosteran浏览器,这是一款由Fried Cookie Ltd开发的基于铬元素的浏览器。
大多数下载Vosteran浏览器的搜索会返回如何删除它的结果:
最后,Vosteran的隐私政策州:
我们也可能使用第三方跟踪服务,使用cookie(分析)跟踪与我们的软件和/或服务相关的非个人身份信息。请注意,我们无法控制第三方隐私政策。
这基本上意味着Vosteran Search不能对第三方的滥用行为负责。
还有各种其他的捆绑在这个安装,由“分销商”称为Entarion有限公司提供,“地址”位于塞浦路斯,作为离岸公司的安全港而闻名。
d.updateweb.org softwareportals@gmail.com Stratigou Spyrou Stathopoulou, 14B, 3066,利马索尔,塞浦路斯
请注意,该域名正在使用Privacy Protect来隐藏注册者的详细信息。然而,对Gmail地址的搜索显示,还有一个似乎属于俄罗斯圣彼得堡的个人的域名。
用不了多久就能找到几份关于不必要的弹出窗口积极推动伪造的注册表清洁器,其中很多都通过了渠道securedshopgate.com一个隐藏良好的门户,其SSL证书与塞浦路斯的一个地址绑定,再一次:
从这个安装程序安装Flash Player不是一个容易的任务,由于大量的推广软件:
可以这样说,这个特殊的例子不是标准,大多数下载管理人员确实明确地让用户选择或拒绝已经被审查为合法的附加软件。
然而,相反的例子也确实存在,而且确实造成了许多令人头痛的问题,并在其有效性可能受到质疑的项目上花费了大量资金。
要快速删除这些潜在不需要的程序(pup)中的任何跟踪,您可以下载并运行必威平台APP伪反恶意软件:
必威平台APPMalwarebytes将程序列为PUP的标准可以查看在这里.这份清单相当详尽,随着PUP制造商业务的多元化,它很可能会继续发展。
消费者应该能够做出明智的选择,而不是被误导走他们不打算走的路。
不幸的是,从财务角度来看,软件包是一种非常有吸引力的业务模式,因此合法和欺诈之间的界限经常被跨越。
特别感谢Adrian Gill、Joshua Cannell和JP Taggart提供的额外研究援助。
评论