作为一名网络人，在网上下载软件是再平常不过的事情了，Linker从第一次下载mp3开始，这些年下载的软件不计其数，也确实得到了很大的实惠，在这里先要谢谢那些共享、免费软件的作者，有了他们的原创和支持，计算机才显得更加的有用。

但现在软件下载，现在已经变得不那么乐观，不那么干净，而是藏污纳垢，不堪到了极点，卑劣到了极点。

之前，Linker就曾经大致提到过一例：http://www.linwan.info/2009/11/3092/

中国众多软件下载站一直是软件开发商和下载用户心目中的理想中介平台。除了天空软件站、华军软件园、天极下载站等少数几家大型下载站已经成立专门公司运营外，其他的中小下载站基本都属于个人网站，夹杂浑水摸鱼和欺诈下载的情形经常发生。包括上述提及的几家知名下载站同样存在“下载潜规则”。

据国内一家知名下载站站长透露，所谓“下载潜规则”是指软件下载站在用户目标软件的下载精心设计相似按钮，诱导和欺骗用户下载其他广告主提供的软件。

　　“其实潜规则早已成为明规则。”该站长透露，“下载网站一直存在这类做法，用户也对此习以为常，因为每家下载站都是这样操作的，用户在被骗下载后顶多骂上几句。”

　　按照这样的说法，用户和软件下载站之间的关系可以形容为：屡下屡骗，屡骗屡下。

　　欺骗规则一：用户连闯地雷阵，防不胜防

　　一般说来，目标软件下载地址域名和下载网站域名会保持一致，如果出现其他域名，则有可能被诱骗，甚至可能误下载流氓软件，饱受弹窗之苦。用户将消耗大量时间来辨别目标软件下载地址，在逃过第一屏8个“地雷”后，恭喜你来到第二屏地雷阵，稍有不慎，将被安装流氓软件。真是防不胜防。

　　业内人士透露，个人下载网站多成为流氓软件推广渠道，属于超级垃圾站。其宗旨就是能骗一个是一个。一般来说，经过此类地雷阵后，用户即可具备超强识别能力，同时对此类下载站深恶痛绝，再不光顾。

　　既然个人下载站不可信，那我们对华军、天空下载和天极下载这样的知名下载站总该抱点希望吧？事实上，实践对太平洋下载、中关村下载、霏凡软件下载、多特软件站等多家知名下载站测试后发现，均存在上述欺诈下载潜规则。

　　根源：软件下载站盈利之痛

　　软件下载站免费为网民提供软件下载理应获得尊重，但采取欺诈和诱导式广告下载既对用户体验是一种伤害，也将导致用户对误下广告主软件评价降低，同时还将降低下载网站自身口碑，这是“三输”。

　　据业内透露，究其根源，在于下载站盈利模式之痛。一般来说，大型下载站盈利主要依靠广告收入，来源一般为软件下载以及其他软件展示广告。

　　知情人士透露，作为类似于苏宁、国美类的模式，大型下载站无法大规模从提供软件下载的开发商手中获取“进场费”，少数软件会采取付费形式进行渠道推广。

　　作为个人网站类的下载站来说，多数采取伪装欺骗式链接来赚取广告联盟广告费。更为恶劣的做法便是捆绑流氓软件，用户误操作之后，浏览器主页可能被篡改，各类盗号、流量劫持，强弹广告、远控木马等后果将随之发生。

　　律师说法：做法欠妥

　　一家下载站相关人士表示，这是业内通行的做法，用户并未对此十分反感。因此不会对上述诱导式下载进行改变。

　　根据我国广告法第四条规定，广告不得含有虚假的内容，不得欺骗和误导消费者。第五条规定，广告主、广告经营者、广告发布者从事广告活动，应当遵守法律、行政法规，遵循公平、诚实信用的原则。广告法第十三条规定，广告应当具有可识别性，能够使消费者辨明其为广告。

　　对此，律师游云庭认为，下载站此举并不涉嫌违法，只是经营网站在用户体验方面的做法欠妥。

　　“对于用户来说，只能用脚投票，如果华军的用户体验不好，自然会流失到天空或者其他下载站。”游云庭分析说，“如果经营方认为自己的上述行为可以持续，自然会这样下去，如果出现页面更清爽的竞争对手，那自然会导致用户流失，自然就会改善服务。”

　　分析认为，依靠网站自行规范几乎没有可能。“自律意味着自断盈利，自断盈利意味着网站关闭，网站关闭意味着无法提供下载服务，无法提供下载意味着软件渠道缺失，影响更多软件的分发，最终将影响互联网普及和使用。”

软件下载站的欺骗式广告，欺骗式下载链接，下载链接为流氓软件，下载软件捆绑流氓软件（这在2007年尤其盛行，头号大流氓3721作者开发360安全卫士以后，此风稍歇），更有甚者，下载软件中，如果是流氓软件还好一些，如果是木马、病毒之类的，就太糟糕了，比如捆绑木马、捆绑病毒，或者欺骗式链接干脆就直接是木马、病毒，这样，下载者，无形之中，电脑已经在受到了安全的威胁。

在网站优化中，网站的粘合力对于网站的长期发展是很重要的，软件下载站这种做法，无疑是“一锤子”买卖的做法，尽管如此，还是有大量的下载者不得不在这些网站上下载软件、寻找软件，甚至有些软件的开发者，也需要把自己的软件，必须的发到这些软件下载站上面来推广。

安全问题在现在的互联网，随着各种各样病毒的涌出，越来越被大家所重视，可以说现在的电脑如果不安装杀毒软件，即所谓的裸机，冲上互联网，几乎无法正常使用超过两个小时，可见如今病毒的暴虐与猖獗，哪怕是更新了最新补丁的系统，也会在病毒的肆虐下，乖乖“蓝屏”死机。昨日所见资讯，上一个网站中二三十个病毒，这种情况下，系统已经完全废掉了。今天，就是Linker的实际经历来介绍一例，病毒捆绑图片进行邮件营销诱骗下载安装从而中招，一环套一环，险恶至极。

今天去网易126邮箱收邮件，有一个标题“你好”的邮件，依照经验，这类邮件百分之八十可以认定是垃圾邮件，但今天心情不错，有耐心看一下。 

这邮件看起来没什么问题，也就是一封咨询产品类的邮件，但Linker虽然销售虚拟商品，但从来没有销售过实物商品，因此这个咨询纯粹是扯淡；另外，Linker的收件邮件名称是16881688[AT]126.com，上两天后中所显示的收件人邮件，并非Linker所有，更并非126邮件，却如此显示，明显是邮件群发类软件所用的伎俩。

另外看起来附件是一个压缩了的图片，这在正常情况下是很自然的，下载、解压，双击打开图片。但在这个过程中，就有可能把病毒已经运行了。看下图： 

如果你的系统设置勾选了“隐藏已知文件类型的扩展名”，那么就看不到这个exe结尾的扩展名，和正常图片看起来没什么两样，常规习惯自然是双击打开了，但这是有问题的；右键点击这个看起来是图片的文件，如果你安装了winrar软件，就会有相关的解压和用winrar打开的选项。  

看到上面的图片，大家就明白了。这个exe文件也就是把一个可执行文件和图片打包压缩在了一起，然后这个压缩文件的图标显示用了系统默认的图片显示类图标，winrar可以打包为可执行压缩包内程序的压缩包，从上图的注释就可以看出，“setup=test.exe”，而这个exe的文件就是邮件发送者的真正用意了。

这个test.exe，查看情况下，卡巴斯基2009并没有报警，右键点击test.exe文件，选择使用扫描病毒，直接查出并删除。 

通过其他网友得知，Heur.Trojan.Generic，这是最近很流行的一个病毒！非常猖狂！ Win32 WINDOWS下的PE病毒，感染该病毒是一个WIN32 PE感染型病毒，病毒感染普通PE EXE文件并把自己的代码加到EXE文件尾部，修改原程序的入口点以指向病毒体，病毒本身没有什么危害，但被感染的文件可能被破坏不能正常运行。

 昨天的资讯得知，木马制作销售团体三个月狂收三千万，正是这种极大的暴利让一部分人不顾道义、丧心病狂的肆意作乱，让一部分不太熟悉电脑、互联安全防范常识的上网者，轻易中招，从而造成了极大的麻烦。不过，也从相关报道中得知，安全威胁、破坏、黑客攻击等行为，已经有立法规定，最高可判七年，七年，足以让这些所谓的“尖端防杀技术”病毒，落后到弱智的地步。

不管如何，安全警惕不能放松，希望以此例给大家作一点安全防范上的借鉴。

现在免费的杀毒软件是越来越多了，前段日子看到了小红伞推出了90天的免费试用申请，就一直推荐同事在用，小红伞的功能表现也确实不错。现在，另一款杀毒软件—-NOD32安全套装官方推出了3个月免费试用申请。 

申请地址:http://www.eset.com.cn/trial/ess_ac_90/

相对于PPlive和360赠送的半年免费试用来说时间短了不少，但是安全套装版本增加了网络安全防护和反垃圾邮件等使用功能，对资源的消耗同nod32标准版差别不是特别大；另外一点这个版本仅需申请注册用户ID即可，不需要附加安装其他软件；三个月时间已经不短了，再说过了三个月还可以继续申请。或者三个月以后，还有更多的软件在推出这种免费试用申请活动，现在这样的活动真的是越来越多了，这个现象很好。

 申请方法很简单，只是用户名和邮箱输入后，下一步就可以成功申请激活码了。

冰刃，似乎就是为了对付驱动级木马的先期准备武器；现在的木马以及所谓的流氓软件，已经不那么客气了，而是很无赖的怎么黏糊怎么来，怎么藏得深怎么来，以前查杀木马病毒从目录、文件等方面都还可以看出，现在的驱动级木马也已经是屡见不鲜了，当然，对于普通电脑使用者来说，发现这些驱动级的木马更是难度极大，几乎无从查起，那么利用冰刃icesword来查找，就容易多了，举例说明用冰刃icesword来查找比较流行的pcshare远程控制类的木马。

驱动级隐藏木马结合了最新的Rootkit技术，用一般的系统扫描软件如Hijackthis等无法检测到其木马服务信息，现在在互联网上居于主流，那些小儿科的自动启动类、混淆系统文件用户名类的，已经比较容易判断了；

IceSword冰刃(以下简称IceSword)是一款斩断系统黑手的绿色软件。在笔者这么多年的使用中，IceSword表现很令笔者满意，绝对是一把强悍的瑞士军刀——小巧、强大。

pcshare：一款计算机远程控制软件,采用HTTP反向通信,屏幕数据线传输,驱动隐藏端口通信过程等技术，达到系统级别的隐藏。类似灰鸽子。

PcShare样本(arcldrer.exe)运行后释放文件有：
%System32%\Ybfbqufe.d1l
%System32%\Ybfbqufe.dll
%System32%\drivers\Ybfbqufe.sys

插入并启动IE隐藏进程：
在注册表中添加了隐藏的驱动服务：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ybfbqufe]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Ybfbqufe]

指向%SystemRoot%\System32\drivers\Ybfbqufe.sys
如果是XP系统：
修改dmserver服务(监测和监视新硬盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置)：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dmserver\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dmserver\Parameters]

指向病毒文件：
"ServiceDll"="%System32%\Ybfbqufe.d1l"

如果此服务被终止，动态磁盘状态和配置信息会过时。如果此服务被禁用，任何依赖它的服务将无法启动。
如果是2000系统：修改RpcSs服务(Remote Procedure Call Services)：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcSs\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RpcSs\Parameters]

指向病毒文件：
"ServiceDll"="%System32%\Ybfbqufe.d1l"
rpcss.exe是微软Windows操作系统的一部分。它用于本地计算机的远程程序调用
服务。它是本地网络的公用服务。这个程序对系统的正常运行是非常重要的。

1.IceSword的“防”：冰刃，显示在系统任务栏或软件标题栏的都只是一串随机字串“CE318C”，而并是通常所见的软件程序名。这就是IceSword独有的随机字串标题栏，用户每次打开这把冰刃，所出现的字串都是随机生成，随机出现，都不相同(随机五位/六位字串)，这样很多通过标题栏来关闭程序的木马和后门在它面前都无功而返了。另外，你可以试着将软件的文件名改一下，比如改为miaosha.exe，那么显示出来的进程名就变为了miaosha.exe。现在你再试着关闭一下IceSword，是不是会弹出确认窗口？这样那些木马或后门就算通过鼠标或键盘钩子控制窗口退出按钮，也不能结束IceSword的运行了，只能在IceSword的面前乖乖就范了。

2.IceSword的“攻”：IceSword的作者在帮助中多次强调IceSword是专门针对功能强大的内核级后门设计的。举例来说明IceSword几招必杀技。

朋友的个人服务器(Windows 2003)，出现异常，网络流量超高，朋友使用常规方法只可以清除简单的木马，并没有解决问题，怀疑是中了更强的木马，，直接登录到系统安全模式检查，谁知也没有什么特别发现。于是尝试拿出IceSword这把“瑞士军刀”

第一步:打开IceSword，在窗口左侧点击“进程”按钮，查看系统当前进程。这个隐藏的“幕后黑手”马上露出马脚，但使用系统自带的“任务管理器”是看不到些进程的。注意，IceSword默认是使用红色显示系统内隐藏程序，但IceSword若在内核模块处显示多处红色项目并不都是病毒，我们还需要作进一步的技术分析及处理。别以为只是系统自带的任务管理器功能弱，未能发现。我们又用了IceSword与Process Explorer(另一款功能强大的进程查看软件)进行对比，同样也没办法发现“幕后黑手”的踪影。

第二步:点击窗口左侧的“服务”按钮，来查看系统服务，这个木马的服务也是隐藏的，怪不得未能发现行踪。

第三步:既然看了服务，也应该查查注册表[HKEY_LOCAL_ MACHINE SYSTEM\ CurrentControlSet \Services]的情况。反正IceSword也提供查看/编辑注册表功能，正好和系统的“注册表编辑器”也来个对比，点击窗口左侧的“注册表”标签，然后打开依次展开[HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services]项。真是不比不知道，一比吓一跳。看来，系统内置工具还是选择“沉默”，还记得《如何查杀隐形木马》一文吧，虽说鸽子在正常模式下，它的主服务也能隐藏，但它在系统的“注册表编辑器”内完全是显示的，更不要说目前是安全模式。仔细看看，既然已经从IceSword得到可靠情报，得知“幕后黑手”位于系统目录E:\Windows\system32\wins下。

第四步:我们还是用系统的“资源管理器”和IceSword对比一下，点击窗口左侧的“文件”标签，“资源管理器”选择了“交白卷”。在IceSword的文件浏览器与系统的“资源管理器”明显对比下，IceSword已经发现三只“黑手”，正是因为有这只隐藏的幕后黑手，难怪朋友搞了几次，换了不同的防病毒软件还是没清干净。

第五步:剩下的事容易多了，在IceSword中点击“查看”标签下的“进程”按钮，右击刚刚发现的隐藏进程，选择“结束进程”。然后用IceSword删除那三个木马文件，最后，还要删除多余的服务项——那两个HackerDefender*的注册表键值即可。清理完这只“黑手”后，再使用杀毒软件重新杀一遍系统，确认没有其他的木马。

上面的例子充分体现了IceSword的魅力所在。正如作者所言，IceSword大量采用新颖技术，有别于其他普通进程工具，比如IceSword就可以结束除Idle进程、System进程、csrss进程这三个进程外的所有进程，就这一点，其他同类软件就是做不到的。当然有些进程也不是随便可以结束的，如系统的winlogon.exe进程，一旦杀掉后系统就崩溃了，这些也需要注意。

道高一尺、魔高一丈，魔道之争，永远没有停止，病毒与安全的工具之争，也是没有尽头；今天发现那个搞“网络吸血鬼”的病毒软件作者已经被拘了，本来要详细剖析一下这个病毒软件的，素材已经收集得差不多了。这个作者也确实对这方面有过比较深的研究和收集，包括最新的flash漏洞都被他利用到了他的主页，如果杀毒软件不尽责，就危险了；另外，既然flash显示在他的百度空间主页，并且反编译swf文件也比较容易，如果有人要再利用这个swf文件而下载执行其他非法文件的话，也是很危险。还有，“网络吸血鬼”这个软件所包括的功能，非常

个人电脑，那些所谓的高手，应该不会过于青睐吧？我的个人电脑上面，除了放一些工具软件之外，破解补丁之余，就放一些艳照而已，当然，此艳照非彼“艳照”也，只是一些颜色比较鲜艳的图片素材，做网站使用的。但就于此，还是有人到个人电脑上来光顾，不怕累吗？当然，不是在我用时中上的，电脑，还有“内人”在用。

无意中，处理系统服务时，发现了一个奇怪的服务，DuoLaAMeng2008，为“系统内存防益出程序池建议保留！”路径是“C:\WINDOWS\svchost.exe”，呵，这样太有些不自然了吧？

找了找实际的文件，已经早被杀毒软件干掉了；

由此看来，个人电脑安全也不可忽视，良好的电脑维护习惯，是很有必要的；网络安全，重在平时谨慎小心，不要丝毫的放松警惕。哪怕有了所谓的“保驾护航”的实时监控，还是很有必要手工检查一下的。

 据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“哈希信息窃取器（Hack.Win32.HashDump.a）”病毒。该病毒可对主机用户密码进行暴力破解。

本日热门病毒：

“哈希信息窃取器（Hack.Win32.HashDump.a）”病毒：警惕程度★★★，通过网络传播，依赖系统：WINNNT/2000/XP/2003。

这是一个C/C++编写的黑客工具，可以获取用户主机的LM/NTM散列，黑客可通过获取的散列信息破解用户计算机的账号、密码。病毒通过遍历列表查找LSASS.EXE,获取该进程ID，进行内存操作和线程操作。病毒可以创建通信线程，根据当前进程ID创建命名管道，在创建的事件上等待，与之前创建的管道通信线程同步，通过加载.DLL文件和调用大量函数将获取的信息写入通信管道，以此来获得用户信息。

反病毒专家建议电脑用户采取以下措施预防该病毒：

1、建立良好的安全习惯，不打开可疑邮件和可疑网站；

2、很多病毒利用漏洞传播，一定要及时给系统打补丁；

3、安装专业的防毒软件升级到最新版本，并打开实时监控程序；

4、为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播。

5、打开防护中心开启全部防护，防止病毒通过IE漏洞等侵入计算机。