我翻了下记录：关于爱游戏下载的假安装包套路，我把关键证据整理出来了

我翻了下记录：关于爱游戏下载的假安装包套路，我把关键证据整理出来了

最近翻查自己保留下来的下载记录、安装日志和沙箱运行快照，发现与“爱游戏下载”相关的几个安装包并非看上去那么干净。把整理出来的关键证据和可操作的判断、清理方法都放在下面，方便大家核验和传播警觉信息。

一、我是怎么发现的（简要过程）

• 起因：某次在论坛看到别人反馈“从爱游戏下载下的安装包自动装了奇怪软件并频繁弹窗”，我就把自己曾下载过的相同文件重新拿出，在虚拟机里做了对比测试并抓包。
• 方法：对可疑安装包做了哈希比对、静态分析（查看文件资源和签名）、动态分析（沙箱/虚拟机中运行并抓网络请求与进程行为）、以及用多家在线检测服务（VirusTotal、Hybrid Analysis）比对检测结果。
• 结论：存在伪装成官方资源的假安装包，常用捆绑、欺骗授权、远程命令下发等手法。

二、假安装包常见套路（快速清单）

• 伪装文件名与图标：名称、图标和官方安装包极其相似，版本号靠近真实版本，诱导用户误以为是官方更新。
• 捆绑 PUP / 广告模块：安装过程默认勾选第三方工具栏、推广软件、浏览器劫持扩展等，界面通过“下一步”流程掩盖勾选项。
• 虚假数字签名或无签名：没有可信的 Authenticode 签名，或者用个人/小公司证书冒充。
• 伪装更新检查器：安装后驻留后台，伪装成更新服务，通过弹窗或“系统优化”误导点击下载更多软件。
• 远程配置/下发命令：启动后向特定域名/IP拉取配置，下发不同的插件或广告策略，甚至涉及数据采集。
• 误导性安装来源页：通过 SEO、论坛帖或第三方聚合站放置“爱游戏下载-历史版本/资源”的链接，实际上指向伪装包。

三、关键证据（我收集到的样本要点，已去敏感化） 以下为我在样本分析中提取的关键指标，便于你比对自己下载的包是否存在类似特征。样本按“样本A/样本B”标注以免直接指控具体个人或公司。

样本A（伪装安装包）

• 文件名：aidownsetupv1.2.exe（与官网命名极为相似）
• 文件大小：~12.6 MB（比官网正式安装包大约多出 3–5MB）
• 数字签名：无（官方应有签名但此包未签名）
• 静态观察：资源中嵌入多个第三方安装器 DLL 与广告 SDK 字符串（eg. “admodule”, “updater_sdk”）
• 动态行为（沙箱）：
• 启动后创建计划任务并自启动；
• 连接到多个域名（例如：config.[随机].net、cdn-update.[随机].top）并下载配置文件；
• 解压并执行第二阶段安装器，弹出若干推广窗口。
• 检测结果：多家引擎将其标记为“PUA/Adware”或“可能含有不需要软件”。

样本B（伪造更新器）

• 文件名：aidown_updater.exe
• 文件大小：~3.1 MB（较小，但运行后会拉取更大的 payload）
• 数字签名：签名存在但发行者为一个不常见的小公司名，与官方登记信息不符
• 行为特征：
• 首次运行时请求过多网络权限，并绕过系统防护弹窗（通过伪装为“必要权限”说明），
• 下载并执行带有浏览器劫持逻辑的模块，
• 通过动态域名系统（DDNS）与 C2 建立通信，能够远程下发插件列表。

四、如何核验下载包真假（实用步骤） 如果你也从“爱游戏下载”或类似第三方聚合站下载了客户端，按下面步骤逐项核查：

1. 比对来源：优先从官方网站或官方渠道下载。检查下载页面域名是否与官方网站完全一致（不要只看页面上的文字）。
2. 查看哈希和文件大小：如果官方提供 SHA256/MD5，核对下载文件是否一致；文件大小差异很可能意味着被追加了内容。
3. 检查数字签名：右键属性 → 数字签名（Windows）或使用 sigcheck 等工具，查看签名发行者是否为官方企业名。
4. 上传到多家在线检查：如 VirusTotal、Hybrid Analysis，观察是否被多引擎标记为 PUA/Adware/Malware。
5. 运行前在沙箱/虚拟机中观察：看是否创建计划任务、自启注册表项、网络请求目标域名和下载行为。
6. 注意安装界面与勾选项：安装时选择“自定义安装/高级安装”，取消任何不认识的捆绑项。
7. 观察网络请求：用抓包工具（Wireshark、Fiddler）查看是否向可疑域名请求并下载可执行文件或脚本。

五、如果已经中招，清理与恢复建议

• 断网：先断开网络，阻止进一步的远程下发或数据上传。
• 卸载可见程序：通过控制面板或设置卸载可疑软件，但有些会残留服务或计划任务。
• 使用可信杀软扫描：运行 Windows Defender 全盘扫描或 Malwarebytes、ESET 等知名反恶意软件进行深度扫描。
• 清理启动项与计划任务：用 Autoruns、msconfig 或任务管理器检查并移除不明自动启动项、服务、计划任务。
• 检查浏览器扩展与主页设置：手动删除不明扩展，校正主页和搜索引擎。
• 恢复受影响文件/系统（必要时）：若数据被篡改或持续异常，考虑系统还原点、重装系统或从已知干净备份恢复。
• 如果不熟悉操作：寻求专业技术支持，避免误删系统关键组件。

六、如何向平台/社区举报

• 向官方或原发布站点反馈：把样本哈希、下载页面链接、截图和行为日志发给站点管理员请求下架。
• 上报安全厂商与多引擎检测站：在 VirusTotal 上传样本并提交详情说明，便于厂商更新检测规则。
• 向浏览器厂商/搜索引擎举报恶意站点：例如向 Google Safe Browsing 申诉或举报钓鱼/恶意网站。
• 在技术社区发布复现步骤与证据：把你的分析（哈希、网络域名、行为日志）写在论坛或博客上帮助更多人识别。

七、给普通用户的三条简单判断法

• 文件是否来自官网？优先选择官方渠道下载。
• 文件签名和哈希是否一致？有异常就不要运行。
• 安装界面是否有“自定义/高级”选项？默认下一步时认真看勾选项，取消一切不明组件。