玩儿网游，难免对手动操作甚感疲惫，许多玩家会热衷于使用各种与游戏相关的插件、外挂）或辅助工具（比如语音聊天工具YY，UT等），与游戏相关的工具吸引了很多参与者。这些工具无一例外成为木马盗号集团的目标，他们将木马与这些工具捆绑，然后通过钓鱼网站，或在一些游戏玩家比较集中的游戏交流平台发布推广。那些资金雄厚的盗号者，甚至直接购买搜索引擎的关键字广告来推广。

看下面两个实例：
1.百度搜索“UT”
UT是主意聊天工具，游戏玩家公会一般用这类工具召集成员共同参与游戏活动。



这里的第一条推广链接指向www.utg-sina.net（从域名判断，这个肯定是钓鱼网站无疑），第二个链接才是UT官方网站，右边还有一个推广链接。



2.google搜索“魔兽大脚”，这个就更恐怖了，上面3个链接和底下2个链接都是购买的google关键字广告。

而搜索“魔兽大脚”这个关键字的第一屏，竟然没有一个是大脚官方站点。从这些地方下载大脚插件，不用说，十有八九会中木马，那5个花钱做推广的，不用检测就可以100%断定是木马。为啥呢？因大脚官方也不曾用这种手段推广免费的产品，花大钱做广告推广，其目的显而易见。


解决方案思考：

从上面两个实例可以看出，对付以盗号为目的的钓鱼网站，以收集列表为手法显然滞后。指望搜索引擎服务商人工审核关键字广告显然也很难根本上解决，因他们是受益方，无论谁买关键字，都是给搜索引擎服务商交钱。

杀毒软件也是后发方案，盗号集团发布这些捆绑的木马前，会用各种杀毒软件扫描，做好免杀才会发布。

那出路在哪里呢？吃饭回来再说。

方案1：
识别搜索引擎输出结果是否存在安全风险，比如安装金山网盾后，google中搜索“魔兽大脚“的结果为

这些标识为红叉的链接，就是近期曾发生过网站挂马攻击事件，点击红叉可以查看详细描述。
绿色对勾标识的，是指这个站在最近一段时间的检查中，金山云安全系统未从该站检查到挂马攻击特征。

但需要指出的是，绿色对勾标识仅仅是指这个站近期未检查到挂马攻击，而不表示该站不存在捆绑下载木马的攻击。

方案2：关于下载捆绑
可以设想以下场景：从某网站下载一个文件，可以记录这个文件的唯一特征，比如MD5值。当云安全系统会首先收集这个样本文件，通过一定手段诊断这个文件得出黑（含恶意程序，危险）和白（不含危险程序，是正常文件）的结论。当其它用户再次下载这个文件时，可以告知该文件的安全特性。

以上两个方案都存在时间差，但有办法总比没办法好。

方案3：就是客户端下载完成后的扫描，这一步由杀毒软件客户端来完成。