非诚勿歉 “聚搜”官方道歉被指“糊弄”网民

带木马行为的恶意软件“聚搜”在遭到360安全卫士查杀后，迫不得已于第二天在其官网向网民进行了“自我辩解”式的公开道歉，同时提供了据称能“彻底删除”聚搜工具条的卸载工具。

带木马行为的恶意软件“聚搜”在遭到360安全卫士查杀后，迫不得已于第二天在其官网向网民进行了“自我辩解”式的公开道歉，同时提供了据称能“彻底删除”聚搜工具条的卸载工具。然而经360安全中心验证，该卸载工具并不能完全清除所有已知的版本，反而有可能“误杀”电脑系统文件。因此，360安全中心提醒广大网民慎用此卸载工具。

据悉，被网民斥为“流氓软件”的“聚搜”是一款强制安装并利用木马技术让其难以卸载的IE工具插件。在大量用户的强烈呼声中，360安全中心于2月26日率先将“聚搜”列为“恶评插件”进行查杀。短短两日内便有近3000名网友在查杀公告后跟帖，怒斥“聚搜”的流氓行径。截至2月28日晚24时，360安全卫士用户针对“聚搜”的查杀量也超过了20万。

2月27日，在用户及舆论的双重压力下，“聚搜”幕后人士以“聚搜开发组”的名义在其官网发布声明，公开向“所有被强制安装上及主动安装聚搜却无法卸载的网友”道歉，承认自身产品“存在缺限及推广不当”，从而给用户“造成困扰”。但针对其某些功能“不能完全删除”，“聚搜开发组”声称其目的仅是“为了保护聚搜软件更好的提供服务”，并没有“特别的恶意”。同时，聚搜官网主动提供了全新的“聚搜卸载工具”。

然而，“聚搜”的公开道歉显然并不能让深受其害的用户满意。据一位受害用户反馈，当他突然发现自己电脑不知何时被偷偷装了“聚搜”插件后，其IE浏览器每隔数分钟便主动弹出来访问“聚搜”首页，对他写文档、玩游戏等正常操作造成了严重干扰。对这种“更好的服务”，他根本无法拒绝，因为他努力了1个多月，都未能成功卸载这一软件。因此，他认为“聚搜”的道歉行为明显是在“糊弄”网民，丝毫不值得同情。

据360安全中心工程师分析，为了不让用户卸载，目前“聚搜”已知的9款版本使用了“向3条路径写入系统文件与创建4种畸形文件夹”的混搭组合，这种利用木马行为进行自我保护的手段极为恶劣。而此次“聚搜”提供的最新卸载工具仅对其中3个版本有效。“由于开发环境差异等原因，该卸载工具极有可能在卸载某些版本时误杀用户系统文件，造成电脑无法正常使用”。

不仅普通用户很难卸载“聚搜”，许多传统杀毒软件目前也还不能从行为规则上识别出此类软件。根据国外知名安全厂商HispasecSistemas提供的多种反病毒引擎VirusTotal扫描结果，目前仅有包括赛门铁克、熊猫等在内的三分之一的安全厂商对“聚搜”报毒，而国内大部分主流安全软件目前还不能识别出“聚搜”的危害性。

记者在国内某下载网站看到，光是该网站上的“聚搜”下载量就已超过了100万。由此可以推断出：被“聚搜”强驻的电脑数量非常庞大。在流氓软件已近绝迹、人人痛恨木马的大背景下，“聚搜”团队为何仍然如此胆大妄为呢？

对此，360安全专家石晓虹博士认为不外乎两种可能：不懂法或心存侥幸、知法犯法。“像“聚搜”这种用流氓方式推广并强驻用户电脑的恶意软件，其目的很明显，就是要快速吸引大量用户通过其进行搜索，最终根据搜索次数从百度、谷歌等搜索引擎服务商那里获得分成。”石晓虹表示，““聚搜”的行为已经严重侵害了用户的利益，其利用木马技术强驻用户电脑的做法本质上就是一种木马行为，可以说已触犯了相关法规。”

北京市信息产业协会秘书长徐祖哲认为，软件开发和企业的市场行为都要守法。“聚搜”的行为非常“恶意”，应归于“流氓软件”范畴。协会建议行业组织、安全机构和厂商协作为受害网民提供取证和投诉通道，并建议从法律角度对这种大规模木马行为进行约束和监管，阻止不法分子藉此获取不当利益。

附：“聚搜”IE插件分析

下文所列为“聚搜”九款版本行为分析汇总，其中不同版本混合使用了不同的自我保护技术，标红部分为“聚搜”开发组提供的“聚搜卸载工具”可处理的行为版本，而对于安装了向”C：\WINDOWS\system32\usmt”路径写入文件的“聚搜”用户，一旦使用“聚搜卸载工具”，将会造成误杀系统文件。（初步判断为该工具采用了DOS开发环境，这一目录与Windows系统存在差异，由此导致误杀）

1、 创建目录：（会向目录中创建一个”bak.”的畸形目录）

C：\WINDOWS\system32\GSear

C：\WINDOWS\system32\JuSou

C：\WINDOWS\system32\JSou

C：\WINDOWS\system32\QSou

2、 向以下系统目录写入文件：

C：\WINDOWS\system32

C：\WINDOWS\system32\usmt\

C：\WINDOWS\system32\wins\

3、 篡改以下系统服务：

W32Time

seclogon

Schedule

4、 创建IE工具条位置：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Toolbar

5、 创建IE地址栏挂钩位置：

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\URLSearchHooks

6、 创建系统的IE搜索引擎

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\SearchBar

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search\SearchAssistant

7、 创建系统服务，且服务有有注入线程到Explorer.EXE的行为。

创建系统服务：wdfmgrsvc（服务名前三位随机）

路径：C：\WINDOWS\system32\asebrhvh.exe（文件名随机）

创建系统服务：upausvce

路径：C：\WINDOWS\System32\tapisrv.dll

8、 新增浏览器辅助对象：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperts

9、 通过修改注册表中防火墙相关条目达到访问网络不受阻挡：

［HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\meters\FirewallPolicy\StandardProfile\AuthorizedApplications\List］

“C：\\WINDOWS\\system32\\wdqiejsk.exe”=“C：\\WINDOWS\\system32\\wdqiejsk.exe：*：Enabled:wdqiejsk”（文件名随机，主要看释放时的文件名）

10、篡改首页：（个别版本的行为）

http://www.jusou.net/go.asp

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有