作为一名网络人，在网上下载软件是再平常不过的事情了，Linker从第一次下载mp3开始，这些年下载的软件不计其数，也确实得到了很大的实惠，在这里先要谢谢那些共享、免费软件的作者，有了他们的原创和支持，计算机才显得更加的有用。

但现在软件下载，现在已经变得不那么乐观，不那么干净，而是藏污纳垢，不堪到了极点，卑劣到了极点。

之前，Linker就曾经大致提到过一例：http://www.linwan.info/2009/11/3092/

中国众多软件下载站一直是软件开发商和下载用户心目中的理想中介平台。除了天空软件站、华军软件园、天极下载站等少数几家大型下载站已经成立专门公司运营外，其他的中小下载站基本都属于个人网站，夹杂浑水摸鱼和欺诈下载的情形经常发生。包括上述提及的几家知名下载站同样存在“下载潜规则”。

据国内一家知名下载站站长透露，所谓“下载潜规则”是指软件下载站在用户目标软件的下载精心设计相似按钮，诱导和欺骗用户下载其他广告主提供的软件。

　　“其实潜规则早已成为明规则。”该站长透露，“下载网站一直存在这类做法，用户也对此习以为常，因为每家下载站都是这样操作的，用户在被骗下载后顶多骂上几句。”

　　按照这样的说法，用户和软件下载站之间的关系可以形容为：屡下屡骗，屡骗屡下。

　　欺骗规则一：用户连闯地雷阵，防不胜防

　　一般说来，目标软件下载地址域名和下载网站域名会保持一致，如果出现其他域名，则有可能被诱骗，甚至可能误下载流氓软件，饱受弹窗之苦。用户将消耗大量时间来辨别目标软件下载地址，在逃过第一屏8个“地雷”后，恭喜你来到第二屏地雷阵，稍有不慎，将被安装流氓软件。真是防不胜防。

　　业内人士透露，个人下载网站多成为流氓软件推广渠道，属于超级垃圾站。其宗旨就是能骗一个是一个。一般来说，经过此类地雷阵后，用户即可具备超强识别能力，同时对此类下载站深恶痛绝，再不光顾。

　　既然个人下载站不可信，那我们对华军、天空下载和天极下载这样的知名下载站总该抱点希望吧？事实上，实践对太平洋下载、中关村下载、霏凡软件下载、多特软件站等多家知名下载站测试后发现，均存在上述欺诈下载潜规则。

　　根源：软件下载站盈利之痛

　　软件下载站免费为网民提供软件下载理应获得尊重，但采取欺诈和诱导式广告下载既对用户体验是一种伤害，也将导致用户对误下广告主软件评价降低，同时还将降低下载网站自身口碑，这是“三输”。

　　据业内透露，究其根源，在于下载站盈利模式之痛。一般来说，大型下载站盈利主要依靠广告收入，来源一般为软件下载以及其他软件展示广告。

　　知情人士透露，作为类似于苏宁、国美类的模式，大型下载站无法大规模从提供软件下载的开发商手中获取“进场费”，少数软件会采取付费形式进行渠道推广。

　　作为个人网站类的下载站来说，多数采取伪装欺骗式链接来赚取广告联盟广告费。更为恶劣的做法便是捆绑流氓软件，用户误操作之后，浏览器主页可能被篡改，各类盗号、流量劫持，强弹广告、远控木马等后果将随之发生。

　　律师说法：做法欠妥

　　一家下载站相关人士表示，这是业内通行的做法，用户并未对此十分反感。因此不会对上述诱导式下载进行改变。

　　根据我国广告法第四条规定，广告不得含有虚假的内容，不得欺骗和误导消费者。第五条规定，广告主、广告经营者、广告发布者从事广告活动，应当遵守法律、行政法规，遵循公平、诚实信用的原则。广告法第十三条规定，广告应当具有可识别性，能够使消费者辨明其为广告。

　　对此，律师游云庭认为，下载站此举并不涉嫌违法，只是经营网站在用户体验方面的做法欠妥。

　　“对于用户来说，只能用脚投票，如果华军的用户体验不好，自然会流失到天空或者其他下载站。”游云庭分析说，“如果经营方认为自己的上述行为可以持续，自然会这样下去，如果出现页面更清爽的竞争对手，那自然会导致用户流失，自然就会改善服务。”

　　分析认为，依靠网站自行规范几乎没有可能。“自律意味着自断盈利，自断盈利意味着网站关闭，网站关闭意味着无法提供下载服务，无法提供下载意味着软件渠道缺失，影响更多软件的分发，最终将影响互联网普及和使用。”

软件下载站的欺骗式广告，欺骗式下载链接，下载链接为流氓软件，下载软件捆绑流氓软件（这在2007年尤其盛行，头号大流氓3721作者开发360安全卫士以后，此风稍歇），更有甚者，下载软件中，如果是流氓软件还好一些，如果是木马、病毒之类的，就太糟糕了，比如捆绑木马、捆绑病毒，或者欺骗式链接干脆就直接是木马、病毒，这样，下载者，无形之中，电脑已经在受到了安全的威胁。

在网站优化中，网站的粘合力对于网站的长期发展是很重要的，软件下载站这种做法，无疑是“一锤子”买卖的做法，尽管如此，还是有大量的下载者不得不在这些网站上下载软件、寻找软件，甚至有些软件的开发者，也需要把自己的软件，必须的发到这些软件下载站上面来推广。

流氓软件打包式的隐藏安装，在2007年疯狂一年后，已经越来越不明显了，随着号称专治流氓软件的“360安全卫士”的出现，不听360话的流氓软件基本没有日子混了，随着vista和windows7权限控制细化，隐藏式安装，越来越难了，但这不代表，流氓软件就没有了，不代表就不用恐惧这些流氓软件了，“江山易改，本性难移”，流氓软件由于其潜在的利益过大，不会因为一时的失败就不再肆虐，不会因为有了360就没有办法存在，很久以前，Linker有一篇“又战木马营”今天，Linker就又见了一例打包式的合集流氓式安装。

今天下午在看众多的营销分析时，提到了《做单》的作者，胡震生：从“板爷”到IBM金牌销售，听说这位玩营销很有一手，并且从业经历也很有些传奇，并且出书《做单》，极具商业传奇色彩，因此就习惯性的到网上找找，看b2c商城上有没有书销售，订购一本，没有找到，就想找找有没电子版本的，拿手机上看也行啊！倒是很容易，新浪有VIP阅读，但没有全集的，找到一网站，内容页很明显，就是《做单》电子版本 全集，于是打开页面，看到如下画面： 

上面“网通下载、电信下载、移动下载”这样的欺骗形式，要说也是非常多的了，Linker还是比较能识别得到的，上午的时候有急事要出外，所以页面没有向下拉完，就直接点击网通下载，让迅雷向下拉了，之后就离开电脑出去办事了。晚上吃过饭，发现了桌面上已经下载完的压缩包，这时有点晕呼，已经忘记这个压缩包是因为什么原因下载下来的，解压开，从文件名“17463soft.exe”发现不了这个压缩包是什么东东，并且里面还有一个“安装说明”的文件文档，大家看看这文本文档的内容：

 如果不能正常安装，请先删除原来的老版本。
如果杀软有报警，可以是误报。请先退出杀毒软件，再重新安装。否则安装不完整，功能不完全。
2009年8月

特别是“  如果杀软有报警，可以是误报。请先退出杀毒软件，再重新安装。否则安装不完整，功能不完全。”这最能迷惑人了，特别是一般的电脑使用者，前面那一句，就是铺垫迷惑人的，试想一下，如果把杀软退了或者停了，这些木马包，就更“无所顾忌”了；由于从安装包看不出来是什么东西，于是就习惯性的双击，看安装时有没有名称提示、说明类的，这样想是没错，但这样想打包流氓软件，是不对的，只要你双击，就爆发了。和又战木马营里面描述的一样，啥广泛的安装程序都出现了，360倒是拦截了不少操作，但还是有很多东西安装到了系统中，比如系统程序目录，windows目录，开始菜单、快速启动菜单中，并且ie的启动加了参数，任务管理器中、托盘区中，自动启动了很多程序……，这个感觉既陌生又熟悉，这样的场景已经离开两年了，又突然遇到，感觉有些不可思议，再一想，又觉得多么自然，可又觉得，很愤懑，极度的愤懑！！

（国骂进行中……………………………………………………………………………………………………）

近一段时间，LInker总以“普通电脑使用者”或者说是“普通网民”这样的身份来思考问题，可能和关注SEM有关吧；这样的网站，这样的欺骗式下载，对于Linker这样的上当者，造成不了什么大的影响，一方面上当一次不容易，另一方面，上当了也没关系，只当锻炼一次而已，难为不了自己，也不用找人花钱来修系统，最多费一点时间，耽误一点功夫呗，但针对普通的网民，对电脑不太熟悉者，哪怕你使用了流氓克星–360安全卫士，这些强制安装上去的软件，也是清除不干净，Linker试了，除了安装时，360提示了几次以外，后来再使用360扫描的时候，照样是98分，没有任何异常，但进程中，却是增加了七八项似正规又不正规的进程（一个不确切的小道消息，有些流氓软件是给了360安全费的，这样就可以放马、漂白了）。

晕他NND，这样的网站，发财你安心吗？这样的软件，被打包到一块，强制安装，软件分发者，软件经营者，你发财，安心吗？这样的中介联盟，这样的中介式发财，你安心吗？

现在的网络，正当发财的，确实很艰难，擦边式的发财，黑幕式的发财，洗白了以后，大家也不问出处，只看到耀眼的光环，却一次又一次的忽略了卑鄙的过去；谈到网络营销，正面的，负面的，假正面的，假负面的，此起彼伏，排高顶下，删帖公关，毛党集群……，网络，正在被少数人利用，网络，偏离了真理和正义，网络，让人感到了悲哀和伤痛，网络，需要健康的扶持，需要大众有良心的培育。

网络，现在就是这么个状况，言到引处，最后，只有无语……

360推出安全卫士后，大伙清理插件、优化系统，确实方便了许多，之后推出软件管家，更是成了大多数安装系统者必备先装的软件，这也使很多的初级电脑使用者，可以轻松整理系统。现在360推出了永久免费的杀毒软件，高调推出之后，业务一片哗然，质疑声明显居多。

微软的免费杀毒软件，其实调也挺高，但就是那个正式版验证让大量的“免费windows版本用户”，有太多的犹豫，因此，相比360的永久免费，微软的免费杀毒战略，调调儿有点低了些。

Linker对于360的免费杀毒推出，持马上使用的态度，立马下载安装，发现在安装过程中，360免费杀毒安装程序有“排他性”，检测出其他杀毒软件后，建议删除，这个建议正当而又有隐含的竞争意义，在开启“监控服务”后，也在提示“卸载”现正安装的杀毒软件，虽然杀毒软件并没有启动。和大多数杀毒软件一样，360免费杀毒软件，依然要求重启。但在使用过程中，Linker发现了一个问题，现在都10月21日了，在升级360安全卫士病毒库后，最新病毒库日期依然是10月9日，难道有未知病毒的主动检测特性？比微点推出的理念还牛？

回到开篇的质疑，有的网友怀疑360免费的盈利来源，有的网友怀疑内含的不正当行为，有的网友还在提以前老周的3721不要脸行为，之类的等等，其实Linker也有这些疑问，其实有这些疑问很正常，为什么3721当年造成了那么大的破坏力，不是因为人们没有注意到，而是懂电脑的注意到了，但普通电脑使用者没有注意到，可普通电脑使用者对于当年“流氓软件”的处理反应能力是很慢的，比如一个熟悉的电脑使用者从网上、从自己的电脑使用过程中，通过自己的网络见闻和技术，知道了3721的流氓，但普通电脑使用者，对于这样的行为不知不觉，只是觉得电脑速度慢了，或者网页打不开了，他要明白这是3721搞的鬼，恨不得过半年一年才明白，哦，原来是这个免费的，以前曾经很有用的下面软件使的坏。基于这样的大量的电脑普通使用者，这样的数量基数，所以即使走这样的下贱路，3721还是积累了大量的资金，牛人现在搞投资，当“天使”，有几人还追问你当年的资金是怎么样积累来的？网民数量基数大，反应慢，这就为大量的先知先觉者，自以为聪明的投机者，提供了发财的机会。暴风影音的例子，不鲜明吗？

这不多说了。这个只是说明，所有的免费，都有被人利用的隐患，现在社会，“天上掉的馅饼”，你都得质疑，为什么会掉在我的头上？现在路上，如果你遇到一个黑包里面有几万块钱，你敢坦然捡了就走吗？抛开道德的谴责和交给警察的想法，你难道不会在想，这会不会是别人下的“套”？因此，网友对360的永久免费行为，质疑很正常。虽然说是，占领了用户的桌面，就有金钱，但向桌面上放什么东西，到时候已经不一定是用户能够决定得了的了，现在腾讯的“迷你首页”，迅雷的新闻资讯，阿里巴巴的弹出资讯等等，这都是免费软件的附加行为，360的免费，Linker不敢肯定一定会有什么“暗”的行为，但敢肯定的是，绝对有附加的行为。

不去想那么多了，往往刚推出的品牌货是比较好的，几年以后，品牌质量变坏、造假者跟风，这都是以后的事了，起码现在，用它还是比较妥当的，“杀鸡”也得要等“鸡”长大吧？

互联网就是一个免费、共享、自由的天地，无数兴起的互联网公司开始都是源起于免费，比如网易的免费网页大巴、免费邮箱服务，chinaren的免费主页大巴等，在免费的基础上拓展收费，进一步加强服务和技术方面的完善和支持，这是互联网软件类公司大多数发展的道路。淘宝的起始免费到出尔反尔收费，以及现在的阿里软件“钱掌柜”免费三年的炒作，因此免费既是一个炒作的好借口，也是发展、赚钱的前沿主线。杀毒软件市场，有些不一样，开始是在不断的发展收费版本，这几年不断在推广免费，以下的几款国内外杀毒软件，虽然免费，但名头和功能却是丝毫不逊于收费的杀毒软件。

一、Avira AntiVir 完全免费版（英文版）

国内有一款红透半边天的英文免费杀毒软件，它就是大名鼎鼎的“小红伞”，它占用资源小，防御全面，检出率高的吓人。让占尽地利、人和的国产杀毒软件自叹不如。来自德国小红伞传承了德国人严谨的做事风格。面对威胁防护滴水不漏。对国内病毒木马的效果不逊于卡巴斯基，AVGAnti-Virus是欧洲有名的杀毒软件，AVGAnti-VirusSystem功能上相当完整，可即时对任何存取文件侦测，防止电脑病毒感染；可对电子邮件和附加文件进行扫瞄，防止电脑病毒透过电子邮件和附加文件传播；"病毒资料库"里面则记录了一些电脑病毒的特性和发作日期等相关资讯；"开机保护"可在电脑开机时侦测开机型病毒，防止开机型病毒感染。

在扫毒方面，可扫瞄磁碟片、硬盘、光盘机外，也可对网络磁碟进行扫瞄。在扫瞄时也可只对磁碟片、硬盘、光盘机上的某个目录进行扫瞄。可扫瞄文件型病毒、巨集病毒、压缩文件(支持ZIP、ARJ、RAR等压缩文件即时解压缩扫描)。在扫描时如发现文件感染病毒时会将感染病毒的文件隔离至AVGVirusVauIt，待扫描完成后再一并解毒。美中不足高傲的红伞只有英文版，升级服务器在国外，升级速度慢，容易误杀。

官方网站：http://www.free-av.com/

二、Avast! Home 简体中文免费版

这次是大名鼎鼎的捷克小A，赢得过无数荣誉，0point非常喜欢的一款杀软，这是一款过VB100%如小菜一碟的免费软件，不知道那些站在VB100%的及格线外的收费软件怎么想。AVAST拥有欧洲时尚风格的MP3式界面，监控与扫描分而治之，资源利用效率很高。Avast是捷克一家软件公司(ALWILSoftware)的产品。Avast!的实时监控功能十分强大，它拥有七大防护模块：网络防火墙防护、标准的本地文件读取防护、网页防护、即时通讯软件防护、邮件收发防护、P2P软件防护。这么完善的防护系统，定能让你的系统练就一副金刚不坏之身！任意开启各项保护模块能够查杀流氓软件。升级速度快，监控完整，敏感度高。

官方网站：http://www.avast.com/

三、ClamWin 完全免费版

Clamwin号称最低功耗的“静音杀毒软件”。它占用资源非常小，以至于你感觉不到它的存在。是“组合式”杀毒软件使用者的最爱。ClamWin是一套功能非常优秀的免费防毒软件。它的体积非常娇小，不会占用太多计算机资源，不像其它防毒软件安装之后会拖累整台计算机的速度。而且除了强大的文件与电子邮件防护能力之外，它还拥有排程扫描、在线更新病毒码、及时侦测等功能，和市面上知名防毒软件比起来一点也不逊色！

官方网站：http://www.clamwin.com/

四、Dr.Web CureIT完全免费版（绿色版）

真正专业杀软发烧友对Dr.Web（大蜘蛛）不会陌生，因为遇到病毒关掉所有杀毒软件的时候，还得去请大蜘蛛。肆虐一时的熊猫病毒唯一关不掉的杀软正是，实力大于名气的DR.web。在俄罗斯安全地位要高于卡巴斯基，卡巴斯基是倾向于民用的的，而“大蜘蛛”是供给军方用的。Dr.Web出品免费工具Dr.WebCureIT!，它具有单机版Dr.Web的所有功能，而且它是绿色的不与任何杀毒软件冲突。本软件下载后即是当天最新版本。使用CureIT!用来辅助杀毒是不二之选，不像其他的杀毒软件免费版不能够杀毒，此款软件是可以查毒+杀毒的，而且病毒库的更新频率是和零售版一样的。但是开始的时候有一个Dr.Web的打折广告，且不能自动更新，需要每天下载。注：免费版Dr.WebCureIT扫描的时候偶尔会有广告弹出，关闭即可。这个东东在服务器上查毒极好，大家可以一试。

下载FTP地址：ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

五、Comodo AntiVirus 完全免费版

Comodo AntiVirus－自动检测、杀除各种流行电脑病毒、蠕虫、木马的免费杀毒软件.支持定向检测、邮件扫描、进程监控和蠕虫屏蔽等,它是一款免费软件,不支持9x系统。美中不足它的界面是英文的。

官方网站：http://antivirus.comodo.com/

上面都是国外的洋产品，看看国内有哪些值得期待的免费杀软：

六、墨者安全专家

墨者公司成立于2007年8月，是一家专注于个人电脑安全领域的软件开发商，由原趋势科技中国研发中心运营总监陆剑锋以及国内一批技术高手联手创办。
杀毒软件拥有六项功能:
1、墨者革离术，运用了墨者研发的新技术，结合权限管理的功能，有效防止防火墙和杀毒软件尚未识别的安全危险入侵，并在病毒库反应前把系统与安全隐患完全隔离，有效防止木马盗号等。
2、墨者查杀病毒，兼容主流杀毒软件，并可永久免费使用全球杀毒知名企业趋势科技的杀毒专家，将病毒一网打尽。
3、墨者漏洞修补，通过全面扫描windows和软件中存在的系统漏洞，一键完成补丁的下载与安装，及时排除系统的安全隐患。
4、墨者保护隐私，及时清理上网历史记录、网银注册信息、系统临时文件及cookies等，全面保护个人隐私，防范由此带来的安全威胁。
5、墨者防火墙，快速评估系统的网络防护状态，通过配置病毒防火墙，控制非法网络访问，帮助用户有效抵御黑客攻击等安全风险。
6、墨者安防问答，

昨天去科技市场转了一圈，了解了一些有关二手手机的信息，顺便买了一个酷冷至尊的风扇，事实证明这个举动是对的，刚才AMD就强制关机了，前几天在门口10元买的一个风扇，才一星期就歇菜了，赶快换上，继续。

昨晚10点多，接到朋友电话，说家里电脑不能上网了，双击“河南网通拨号客户端”，提示什么协议不对，需要重新安装。这样看来，似乎是河南网通的pppoe协议出问题了？虽然天色已晚，但急切心情可以理解，去一趟。

赶到一看，启动任务将近二十项，各种各样的插件、下载软件等，大多数还是大品牌的厂商软件，都来这电脑上开会了，这电脑也就是06年的配置，何必以势压人，欺负这样的电脑呢？有本事去欺负那些高配置服务器嘛！没出息。启动360，杀、删……，结束了一通之后，好多了！但拨河南网通上网，依然提示协议问题，重新安装河南网通的拨号客户端，在电脑上找了半天，找了一个以前的dhcp+拨号方式的，晕！现在早就pppoe了，不管，安装一下。安装之后，拨号还是没反应。在“网上邻居”属性里面，看到有pppoe的拨号连接，右键属性，选择“选项”卡，选择上“提示名称、密码和证书等”

双击网络连接里面的pppoe，运行起来以后，默认的像乱码一样的账号不要动，填写网通账号密码，点击连接，一直没有反应。

不使用默认的pppoe拨号连接也行，自己新建一个pppoe拨号也可以，平时用这个连接完全可以代替河南网通客户端的拨号功能，并且还省内存，减少运行进程。

360安全卫士高级工具集里面有一个“LSP修复工具”，这个有几年没在关注了，但Linker在几年前，在win2003系统下使用优化大师后，就引起过这方面的协议问题，当时没有360安全卫士，使用其它方法恢复的。有了360安全卫士的“LSP修复工具”，很简单了，点击修复“Winsock LSP”，就ok了。这个工具在网络正常的时候，不要随意使用，很容易引起问题。 

不用重启，一般情况下最好重启下。再次试用那个pppoe的拨号，连接状态响应了一会，呵，拨上了！

以后工作就简单了，登陆河南网通的客户端下载网站，下载最新客户端，升级杀毒软件，升级360安全卫士，扫描磁盘，清扫插件，整理磁盘，然后安装“一键还原”，以后出故障，不要再半夜啦，好累啊！

安全问题在现在的互联网，随着各种各样病毒的涌出，越来越被大家所重视，可以说现在的电脑如果不安装杀毒软件，即所谓的裸机，冲上互联网，几乎无法正常使用超过两个小时，可见如今病毒的暴虐与猖獗，哪怕是更新了最新补丁的系统，也会在病毒的肆虐下，乖乖“蓝屏”死机。昨日所见资讯，上一个网站中二三十个病毒，这种情况下，系统已经完全废掉了。今天，就是Linker的实际经历来介绍一例，病毒捆绑图片进行邮件营销诱骗下载安装从而中招，一环套一环，险恶至极。

今天去网易126邮箱收邮件，有一个标题“你好”的邮件，依照经验，这类邮件百分之八十可以认定是垃圾邮件，但今天心情不错，有耐心看一下。 

这邮件看起来没什么问题，也就是一封咨询产品类的邮件，但Linker虽然销售虚拟商品，但从来没有销售过实物商品，因此这个咨询纯粹是扯淡；另外，Linker的收件邮件名称是16881688[AT]126.com，上两天后中所显示的收件人邮件，并非Linker所有，更并非126邮件，却如此显示，明显是邮件群发类软件所用的伎俩。

另外看起来附件是一个压缩了的图片，这在正常情况下是很自然的，下载、解压，双击打开图片。但在这个过程中，就有可能把病毒已经运行了。看下图： 

如果你的系统设置勾选了“隐藏已知文件类型的扩展名”，那么就看不到这个exe结尾的扩展名，和正常图片看起来没什么两样，常规习惯自然是双击打开了，但这是有问题的；右键点击这个看起来是图片的文件，如果你安装了winrar软件，就会有相关的解压和用winrar打开的选项。  

看到上面的图片，大家就明白了。这个exe文件也就是把一个可执行文件和图片打包压缩在了一起，然后这个压缩文件的图标显示用了系统默认的图片显示类图标，winrar可以打包为可执行压缩包内程序的压缩包，从上图的注释就可以看出，“setup=test.exe”，而这个exe的文件就是邮件发送者的真正用意了。

这个test.exe，查看情况下，卡巴斯基2009并没有报警，右键点击test.exe文件，选择使用扫描病毒，直接查出并删除。 

通过其他网友得知，Heur.Trojan.Generic，这是最近很流行的一个病毒！非常猖狂！ Win32 WINDOWS下的PE病毒，感染该病毒是一个WIN32 PE感染型病毒，病毒感染普通PE EXE文件并把自己的代码加到EXE文件尾部，修改原程序的入口点以指向病毒体，病毒本身没有什么危害，但被感染的文件可能被破坏不能正常运行。

 昨天的资讯得知，木马制作销售团体三个月狂收三千万，正是这种极大的暴利让一部分人不顾道义、丧心病狂的肆意作乱，让一部分不太熟悉电脑、互联安全防范常识的上网者，轻易中招，从而造成了极大的麻烦。不过，也从相关报道中得知，安全威胁、破坏、黑客攻击等行为，已经有立法规定，最高可判七年，七年，足以让这些所谓的“尖端防杀技术”病毒，落后到弱智的地步。

不管如何，安全警惕不能放松，希望以此例给大家作一点安全防范上的借鉴。

以前经常在网上看到各大品牌的产品和服务有瑕疵，比如华硕的笔记本事故、索尼笔记本之类的，另外瑞星卡卡这些新闻等等，也不能尽怪这些厂商，凡事不好尽善尽美，品牌再大也不敢有例外，以前诺顿有误杀，如果全世界客户都和他们较真，这公司破产十次也不够偿还的。

今天接到一个客户的求助电话说是他们的一个asp服务网站访问不了，我打开他们的另外一个端口的网站发现可以正常访问，考虑可能是那个asp网站的服务死掉了，于是找来远程权限登陆上去；上去一看，他们用的这个asp网站，用到的asp引擎是netbox，但这个老版本的netbox被诺顿咔嚓杀掉了，当然这个网站也就无法访问了。

到网上又去下载了一个netbox，解压后诺顿依然杀掉，晕了，这个程序据我了解，没有什么恶意的行为，怎么会被判断为后门呢？懒得研究诺顿这大牌行为了，加入“排除”，重新解压后运行ok。

前段时间IBM鼠标不行，稍微修理了一下，但还是不太好用，只好重新买，让科技市场的给送来了两个，是清华同方的牌子，看着很是“猥琐”，接上以后，左键轻飘飘的，最可气的是滚轮不管用，晕了，清华同方你让第三方代工你也得考虑功能让正常使用啊！

随后又送来一个lenovo的鼠标，这拼法很“洋”，但送过来的鼠标不管是看还是使用，都让人很“困难”，可能是ibm这大品牌的使用时间长了吧，对这些不得不说他们是二流的“大品牌”，有些用不上“手”，入不了“法眼”。

但咱自己的发族品牌也得努力争气呀！狠铁不成钢……

说远了，管我嘛事？我说能顶事嘛！嘿……

利用声卡程序来隐藏病毒，够阴险，也够创意。

病毒名称：AntiVir ：－
AVG ：－
Kaspersky ：not-a-virus:AdWare.Win32.Agent.eih
NOD32v2：archive damaged
Rising ：-
VT查杀率： 4/36 (11.12%)
VT扫描时间：2008.08.23 10:19:38 (CET)

EQS Lab编号：080823036
病毒大小：264 KB (270,457 字节)
MD5码：66F6DA5DC11BD99D15BFEA50AC710A2E
病毒类型： 恶意程序
主要传播方式： 网络
测试平台： WinXP SP3系统 (默认Shell为BBlean) EQSecurity（HIPS） 实机
危害程度：中

病毒行为：

运行后修改Start Page注册表

2008-08-23 19:27:15 修改注册表内容

进程路径:F:\Once\soundman\soundman.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
注册表名称:Start Page
更改后:http://www.go2000.cn/
更改前:http://www.shendu.com/
触发规则:所有程序规则->IE浏览器相关->*\Software\Microsoft\Internet explorer\Main

修改搜索相关注册表

2008-08-23 19:27:15 创建注册表值

进程路径:F:\Once\soundman\soundman.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{5B8225C7-757A-44B2-96BB-1E3AC529B03B}
注册表名称:[Key]
触发规则:所有程序规则->IE浏览器相关->*\Software\Microsoft\Internet explorer\Search*

2008-08-23 19:27:15 修改注册表内容

 进程路径:F:\Once\soundman\soundman.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}
注册表名称:URL
更改后:http://www.baidu.com/s?wd={searchTerms}&tn=go2000_pg&cl=3&ie=utf-8
触发规则:所有程序规则->IE浏览器相关->*\Software\Microsoft\Internet explorer\Search*

创建启动项

2008-08-23 19:27:15 创建注册表值

进程路径:F:\Once\soundman\soundman.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:SoundMan
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

关键行为：修改IE相关注册表

HIPS防范对策：阻止陌生程序修改IE相关注册表

不管怎么说，都得佩服一下，这创意够狠！玩驱动的花招了。