火绒揭秘：装机工具水有多深？能给自己加白

Tinder揭秘：安装工具里的水有多深？可以加白色

“一切都可以通过重装系统来解决。”目前，用户重装系统的需求带动了一键安装、一键恢复等安装工具的长足发展。无良开发者为了从中获取利益，一般都会在工具中加入个人产品来做小动作，极大地侵犯了用户的利益。例如，“老毛桃”、“大白菜”、“U深度”等热门第三方安装工具被Tinder揭露携带病毒，并进行卸载杀毒软件、劫持、劫持浏览器等恶意行为。。

近日，火绒收到用户反馈，使用一款名为“安装助手”的程序重装系统后，会发现在安装其他软件时软件配置被中断。

图：安装助手工具界面

火绒工程师进行踪迹分析，发现“安装助手”程序携带恶意模块，系统重装并首次启动后，会生成恶意配置文件或向安全等多个常用程序添加注册表项。浏览器、音视频播放器等，由于这些配置文件中存储了与用户相关的配置项，当这些程序安装时，该配置会被认为是上次安装留下的用户配置，从而被加载并适配，从而导致用户的配置。在首页劫持用户、添加广告链接等

图：受影响的软件

图：以受影响浏览器为例示意图

基于频繁的结果，特别是：

1、恶意部分会释放360、腾讯电脑管家、Tinder等安全软件的配置文件，用于增加信任或锁定主页。

图：360信任区

2、恶意模块会通过提取恶意浏览器配置文件和添加系统收藏夹、添加收藏夹、书签等方式劫持首页和新标签页。

图片：IE主页被收藏夹劫持

3、此外，恶意模块会在桌面上添加一个快捷方式，指向推广链接程序，目前推广链接包括百度搜索、2345游戏、京东优惠券中心、推广直营六间房等。

图：开发快捷键

4.最后，恶意模块还会释放一个驱动程序文件，该文件加载并劫持可访问的链接，例如搜索导航和安装站点。被劫持链接的配置是通过云管理提供的。

图：部分绑架链接配置

对于“安装助手”软件造成的负面影响，火绒用户无需担心：如果火绒软件的安装时间早于上述恶意软件，如果“安装助手”软件被安装，安装工具可能会被直接中断并查杀。助手安装早于火绒软件，会造成影响，用户可以删除火绒的“信任区域”并进行“深度查杀”或直接联系火绒工程师解决问题。

令人惊讶的是，我们可以在该程序的官网主页上看到，其标语明确写着：最好的重装软件。在专门的介绍界面中，甚至公开表示“该程序绿色安全，100%安全，无任何病毒”。

目前，Tinder已屏蔽该URL。

事实上，当我们在搜索平台搜索“安装”等关键词时，所展示的（通过购买搜索排名尽可能展示的）安装工具大多存在损害用户权益的行为。Tinder也已经曝光并曝光过，详情请见附件中的举报链接。

在此，火绒工程师提醒用户，类似“安装助手”的第三方安装工具一定要谨慎使用：

1.从第三方网站下载和使用系统、工具、软件等时请务必小心。如果需要使用，尽量选择官方或者官方的下载方式。

2、安装可靠的安全软件并启用必要的防护功能，防止病毒和恶意软件、防止注册表等信息被篡改、防止主页被劫持。

当然，如果您遇到相关问题，可以通过以下方式直接向我们反馈和支持：

1.拨打400-998-3555

2.通过Tinder官方论坛反馈

3、邮箱：seclab@huorong.cn

4.微信、微博、今日头条、知乎、哔哩哔哩搜索【Tinder安全实验室】并私信寻求支持。

附加阅读链接：

1、《安装助手》前期报道分析

“安装向导”程序劫持浏览器并添加广告软件链接进行检测和查杀

https://bbs.huorong.cn/thread-82957-1-1.html

2、相关报道分析

1、老毛桃安装工具携带木马病毒卸载安全软件进行恶意开发。

2.您还在使用“扩展”系统还原工具吗？

3、该病毒激活工具已感染北京等4个城市近60万用户且未受到攻击。

https://www.huorong.cn/info/1526627586130.html