簡介
2005年6月,微軟、雅虎、惠普、美國在線、賽門鐵克、McAfee等聯合成立ASC(Anti-Spyware Coalition)反間諜軟件聯盟。緻力于解決有關間諜軟件和其他潛在有害軟件的技術紛争,創建一緻的定義和最優解決方案。
ASC(反間諜軟件聯盟)于2005年8月起草“間諜軟件”這一概念,并将“間諜軟件和其他潛在的有害技術”如此定義:它能夠“削弱用戶對其使用經驗、隐私和系統安全的物質控制能力;使用用戶的系統資源,包括安裝在他們電腦上的程序;或者搜集、使用、并散播用戶的個人信息或敏感信息。”
間諜軟件是一種能夠在用戶不知情的情況下,在其電腦上安裝後門、收集用戶信息的軟件。用戶的隐私數據和重要信息會被“後門程序”捕獲,并被發送給黑客、商業公司等。這些“後門程序”甚至能使用戶的電腦被遠程操縱,組成龐大的“僵屍網絡”,這是目前網絡安全的重要隐患之一。某些軟件會獲取用戶的軟硬件配置,并發送出去用于商業目的。這種軟件能追蹤網絡用戶的上網習慣,跟蹤用戶操作計算機的行為并且出于各種目的把統計數據發回到遠程控制中心,這些數據可能幫助進行更有針對性的市場營銷活動,或者用于更惡毒的目的,如記錄鍵盤登錄操作以獲得用戶的個人識别信息、銀行記錄、信用卡号和密碼等等。n
“間諜軟件”其實是一個灰色區域,所以并沒有一個明确的定義。然而,正如同名字所暗示的一樣,它通常被泛泛的定義為從計算機上搜集信息,并在未得到該計算機用戶許可時便将信息傳遞到第三方的軟件,包括監視擊鍵,搜集機密信息(密碼、信用卡号、PIN碼等),獲取電子郵件地址,跟蹤浏覽習慣等。間諜軟件還有一個副産品,在其影響下這些行為不可避免的影響網絡性能,減慢系統速度,進而影響整個商業進程。雖然其原理也是基于C/S模式的網絡連接,但是在連接時卻将态度轉了180度:這次的入侵,發出第一個連接請求的不再是遠程控制者使用的客戶端,而是受害者的木馬服務器端。第一個使用此概念的木馬名為“網絡神偷”,被設計用來從局域網内往外盜取文件數據。n間諜軟件之所以成為灰色區域,主要因為它是一個包羅萬象的術語,包括很多與惡意程序相關的程序,而不是一個特定的類别。大多數的間諜軟件定義不僅涉及廣告軟件、色情軟件和風險軟件程序,還包括許多木馬程序,如Backdoor Trojans,Trojan Proxies和PSW Trojans等。這些程序第一個AOL密碼盜取程序出現時就已經存在,隻是還沒有“間諜軟件”這個術語。n間諜軟件的另外一個附屬品就是廣告軟件。此時,間諜軟件以惡意後門程序的形式存在,該程序可以打開端口、啟動ftp服務器、或者搜集擊鍵信息并将信息反饋給攻擊者。間諜軟件可以存在于合法的(并可接受的)商業應用程序中,可以給網絡管理員在影響和監視系統方面很大的權力。n盡管這些程序并非很新,但有惡意目的的程序卻不斷增加,引起媒體和反間諜軟件開發商的很大關注。n間諜軟件是一種能夠在用戶不知情的情況下,在其電腦上安裝後門、收集用戶信息的軟件。n間諜軟件為求生存空間,亦随着潮流而國際化。留意一件國際化了的間諜軟件畫面撷取。軟件除了在視覺效果和感官上都力求與微軟公司的反間諜軟件類似,意圖是混淆視聽,使用戶在不知不覺中讓軟件自行安裝。n間諜軟件産生商nGAIN:旗下的“商品”有n
Precision Timen
DateManagern
ErrorGuard、Malware Destructor:聲稱是“最有效的反間諜軟件”,透過彈出視窗來恐吓用戶,指他們在浏覽兒童色情網頁,而要向FBI告發,從而誘騙用戶安裝他們的軟件。事後,有其他用戶發現它其實亦是間諜軟件。n
DashBarn
ScreenScenes:Butterfly Oasis Screensavern
Innovative Marketing,Inc.n
ErrorSafe:随同會安裝Ethalone的Ghost install及HotBar。
危害
用戶的隐私數據和重要信息會被“後門程序”捕獲,并被發送給黑客、商業公司等。這些“後門程序”甚至能使用戶的電腦被遠程操縱,組成龐大的“僵屍網絡”,這是網絡安全的重要隐患之一。n
例如:某些軟件會獲取用戶的軟硬件配置,并發送出去用于商業目的。n
同時也是“廣告軟件”,此隐藏的軟件程序将用戶信息通過因特網傳送給廣告商,從而作為免費下載的軟件的交換條件。假設你能夠免費下載一個強大的應用程序,并且該程序能讓你完成幾乎是一個昂貴的知名品牌程序做的每一件事情?作為擁有這一不可思議的應用程序完全免費的交換,所有你需要做的就是貢獻出你的姓名、地址、電話、電子郵件和一些其他的個人信息。聽起來很不錯,不是嗎?但是,假設你的個人信息還儲存在硬盤的某處,在這種情況下,例行公事般經過因特網會把你的個人數據傳送回廣告商處,作為交換更多的廣告的條件?
我們來讨論一下‘間諜軟件’,也就是‘廣告軟件’。據一個‘廣告軟件’公司Radiate宣稱,“消費者可以點擊[軟件内部]的旗幟型标欄,接受互聯網站的緩存頁面查看或是訂購廣告中的産品。當用戶回到網上,适當的信息被送到廣告商那裡,而且被Radiate追蹤下來。”Radiate使用了名為Aureate的軟件程序。它在安裝原始的免費應用程序的同時被安裝。同時還有其他一些公司提供另外的基本上也是相同的事情——記錄用戶的浏覽習慣,然後通過因特網上載這些信息,作為交換更多廣告的免費産品。n
你怎樣才能預先知道此事
n下載站點,例如ZDNet下載軟件,已經開始在有廣告商資助的‘間諜軟件’應用程序上貼出注意标簽說明。在許多情況下,一個非廣告商資助的應用程序版本也可以得到,如流行的Go!zilla程序就是這種情況。如果在下載的時候不清楚,要特别注意在程序安裝過程中要求的許可協議和注冊信息。相當多的高質量免費應用程序,或是免費軟件,都擁有看似标準的用戶注冊表格——但是請小心,其中有一些,實際上是為所謂的‘廣告軟件’或‘間諜軟件’統計數據的未來來源。
原則上,該軟件的提供者應該通知用戶這些信息可能會被用于廣告商。實踐中,這樣坦白的人非常難得,幾乎沒有。當你在點擊并閱讀所有提供的文本連接時,是非常值得的。請注意,軟件提供者并沒有被要求提供該信息,所以請按此概括準則做:任何離線應用程序的用戶界面包含有旗幟标欄廣告的都可能正在使用‘間諜軟件’。下次你連接到互聯網的時候,收集到的有關你點擊哪條廣告的信息,還有你查看廣告站點的持續時間都會送回獨自的廣告商處。一次新鮮的廣告補給——通常是基于你以前的廣告點擊或是安裝時提供的人口統計學的信息——将會給你的應用程序界面以代替當前廣告。警告:假定你已經厭煩了你的免費軟件且使用Windows的“添加/删除程序”功能把它從你的系統中删除。猜猜會怎樣?‘間諜軟件’仍然會保留在你的計算機上,常常就是深埋于Windows的系統注冊表裡。
防治辦法
預防方式
n1.手動或利用軟件,把它們所屬公司的網址放入屏障之内。n
2.謹慎安裝随軟件附帶的插件。例如3721科技公司旗下的“上網助手”及“網絡實名”、百度插件、劃詞搜索、網絡豬等。n
3.對于Windows系統需要經常更新(update),為Internet Explorer的漏洞打上補丁。使用非IE浏覽器,例如Firefox、Opera等,可以避免很多網頁惡意代碼。使用反間諜軟件對系統進行掃描和清理,例如Windows Defender、AVG Anti-Spyware、CounterSpy等。n
4.使用可以監視程序通信情況的防火牆,例如在Windows下可以使用ZoneAlarm防火牆,禁止不明程序訪問網絡。n
5.檢查系統中是否還有殘存的不明程序,可以使用IceSword,大部分内核級的惡意程序,都會在IceSword中現形,當然也要求用戶對Windows系統比較熟悉。n
常用方法
n最新的調查報告顯示了反間諜軟件工具的不足,“間諜”仍在網絡上肆無忌憚地活動。但也不必垂頭喪氣,學習并遵循以下的十招辦法,間諜軟件将對你束手無策。n
有的時候,真理和善良總是受到傷害,我們剛剛在反垃圾郵件上取得了一些進展,然而,間諜軟件卻又将填補這項空白。未來幾年裡,你将不得不耗費寶貴的時間,在工作中、在家裡與間諜軟件作鬥争。n
雖然市面上有數十種新的反間諜軟件工具供我們使用,而且這些程序确實很有幫助,但是,運行反間諜軟件實用程序隻是解決方案的一部分,還有很多其他事情需要你做,請按照我們提供的10個步驟指南開始行動吧。n
了解你的敵人
n如果你天真地把間諜軟件定義為Web網站留下來的小cookie文件的話,那麼,你的挫折将永無止境。所有類型的變臉軟件(Scumware)都将為你帶來不幸,主要的四大類型是:n
間諜軟件(Spyware):一種可以秘密地收集有關你計算機信息的軟件,并且可能向一些未知網站發送數據,包括“鍵盤記錄軟件”或“按鍵捕獲寄生蟲”(不要與“惡意軟件(malware)”混淆,惡意軟件包括病毒、蠕蟲和特洛伊木馬程序)。n
廣告軟件(Adware):一種可以随機或者根據當前浏覽器内容彈出廣告和條幅的軟件。n
劫持軟件(Hijackers):可以改變浏覽器主頁、缺省搜索引擎,甚至改變你的方向,使你無法到達你想到達的網站。n
小甜餅文件(Cookies):可以跟蹤Web網站參數選擇和口令的小型文件。軟件可以在用戶不知道的情況下收集和擴散該信息。n
以上四種類型中,廣告軟件是最讨厭的,而劫持軟件和間諜軟件卻是危害最大的。n
退出Internet Explorer
n我們無法指控微軟公司犯下了生成間諜軟件的罪行。但是,Windows的設計,而且尤其是Internet Explorer卻肯定使微軟公司成了“間諜”的“同謀”。我們鼓勵用戶轉向其他産品,例如Firefox或者Opera,兩者均缺省設置封鎖彈出文字。Firefox是免費的且已很普及,Opera則需要花幾美元。n
需要證據來證明Internet Explorer存在着問題?在筆者運行Windows XP Home的主要測試PC上,使用Internet Explorer和Outlook Express,結果發現了739個間諜軟件。而在筆者的個人PC上,運行Firefox和Mozilla公司的Thunderbird電子郵件應用,結果才發現了11個間諜軟件範例。而且,這11個間諜軟件均是在筆者不得不使用Internet Explorer進入某些Web網站的時候,偷偷溜進這台PC的。n
然而,不幸的是,有些網站卻需要Internet Explorer,而那些與微軟公司的Outlook電子郵件客戶端有密切聯系的用戶也必須使用它。不過,還是有辦法可以把感染Internet Explorer間諜軟件的速度降下來。首先,禁止微軟ActiveX支持。在Internet Explorer裡,點擊Tools→Internet Options→Security→Custom Level,然後,點擊迫使ActiveX控制在運行之前請求允許的檢查框。n其次,安裝Google Toolbar,它也可以封鎖彈出文字。它适用于Internet Explorer 5.5及更高級産品,因此,你或許還需要升級浏覽器。同樣地,也可以運行隻在Internet Explorer之内工作的彈出文字封鎖軟件,如StopZilla、123Ghosts Popup Killer、Ad Killer、Ad Muncher以及Anti Popup Pro。n
阻止下載n
仔細遵守如下要求:千萬不要讓技術新手嘗試下載任何東西。然後,為他們下載并安裝Google Toolbar。n
用戶希望從Web上下載“免費”程序,但是,請教會他們如何區分為了獲得實用程序而訪問的網站,與出現在彈出廣告和垃圾郵件裡的網站。n
下定決心,千萬别洩氣,接受教育是不完善的這個事實。間諜軟件傳播者在說服人們下載間諜軟件方面通常做的比你更好。所以,有必要對用戶解釋清楚,在浏覽器頁面旁邊看起來象廣告或朋友發給他們的那些鍊接,實際上是間諜軟件散播的最常見方式。提醒你的用戶對一些危險信号一定要敏感,如彈出的條幅廣告說可以提供免費間諜軟件檢查(這是對信任的最殘酷的濫用)。
教授備份和恢複的基本知識n
由于許多用戶不會留意你的警告,因此,應該教會他們如何從災難當中恢複過來。如今,人們在計算機上有太多的東西,以緻于他們懶得做各種備份選擇。存滿備份數據的外部磁盤、磁帶系統或CD可以減輕充斥着間諜軟件的系統所帶來的麻煩,并使其回到早期沒有間諜軟件的情況,從而使一切恢複正常。n
教會用戶如何在XP裡生成恢複點,以及如何在每次從非知名網站下載之前設置一個恢複點。在大多新式的PC上,磁盤空間不是問題,而且,即使它們的硬盤存滿了東西,創造一些恢複點也比清除間諜軟件感染容易得多。
n制作一張反間諜軟件CDn
把反間諜軟件實用程序燒錄到你的CD上,制作自己的間諜軟件工具集也是個不錯的辦法。當你需要清除間諜軟件時,尋找和等待工具軟件的下載很浪費時間,CD-ROM磁盤價格很低廉,因此,多制作一些拷貝并把它們送給你的用戶也是有效的手段。就筆者自己而言,有三個免費的實用程序,還有三個商業實用程序的測試版本。這些程序的容量為2M至10M字節,因此,标準CD上有足夠的空間容納它們。
運行至少兩種間諜軟件清除程序n
根據我們的經驗,沒有任何一種間諜軟件清除程序能夠清除惡意代碼的每一部分。所有實用程序都有盲點,而間諜軟件編程人員卻正好可以利用這些盲點。每家廠商都稱其産品可以捕獲所有的東西,但是,不管何時人們用一種反間諜工具清除100項威脅的時候,另一個工具還能再找出另外十幾項威脅。n
每一種間諜軟件清除程序都會檢查注冊表,但是,由于間諜軟件遵循微軟的注冊表詞條規則,因此,它根本不可能完全清除間諜軟件。n
定期運行多個不同的實用程序,并确信它們都是最新的,做到這一點十分重要。付費清除程序可以提供更持續的文件更新,即使免費件也會定期增加一些新功能。運行,更新,再運行,再更新,對付間諜軟件就要不斷重複上述步驟。筆者的一般做法是:清除系統,重新啟動進入安全模式,然後,使用另一種工具進行清除,然後,再重新啟動。n
封堵桌面通信漏洞n
每一次間諜軟件上傳信息都意味着更多的未來問題,因為間諜軟件可以進行自我更新,并增加新“性能”。封鎖出站信息可以提高用戶安全等級。n
有一些(但不是全部)常駐反間諜軟件實用程序可以封鎖間諜軟件上載,商用産品更好一些。不過,安裝個人防火牆同樣可以封鎖上載。ZoneAlarm和Sygate Personal Firewall都很棒。n
如今出售的幾乎所有品牌路由器都包括防火牆保護。尋找可以對入站和出站信息包進行全狀态檢查的産品。個人防火牆和路由器控制的組合并非大材小用,尤其是對于那些無法抵制各種新鮮網站誘惑的用戶來說更有必要。n
處理DRMn
在未來幾年裡,間諜軟件還将繼續存在的一個原因就是,各公司都在增加數字權利管理(DRM)在娛樂文件以及授權許可文件之上的使用。為這些應用留下的漏洞還将被間諜軟件利用好幾年的時間。跟蹤諸如在線商店回頭客之類的Cookie文件使得Web網站更人性化。但問題是,這些Cookie文件看起來很像間諜軟件,從而很難在不殺死正常文件的情況下做出分辨。n
對于新出現的娛樂播放應用情況也是一樣,你下載的MP3音樂文件需要确認你有在移動設備上播放這些文件的權力,而新的反間諜軟件有可能封鎖對授權數據庫進行的DRM查詢,因為這不就是符合未經許可把系統信息發送給第三方的間諜軟件定義嗎?這一定義适用于商業應用許可文件和DRM應用許可文件等,至少在應用接口水平是這樣。n
一種解決辦法就是避免諸如音樂播放程序之類的DRM應用,如果你喜歡音樂,那麼,尋找一種能夠定期更新其間諜軟件數據庫的反間諜軟件,因為它可以協調好保護與音樂服務。n
充分發揮AOL成員資格的優勢n
供AOL成員免費下載的間諜軟件保護是另一項非常有用的添加産品,筆者發現其掃描速度雖然比其他許多間諜軟件清除程序慢,但是,該程序卻在CounterSpy和SpyBot進行清除之後又發現了另外7個間諜軟件範例。n
AOL還為用戶提供一些非常有價值的保護,包括為其成員提供免費的技術支持。n
推薦Macintosh或Linux系統n
間諜軟件主要攻擊微軟操作系統,通過Internet Explorer漏洞進入并隐藏在Windows的薄弱之處。有些間諜軟件,尤其是惡意Cookie文件,可以在任何浏覽器之内發生作用,但是,這隻是間諜軟件當中很小的一部分。n微軟的一些軟件産品,如Internet Explorer、Word、Outlook和Media Player,一旦下載就将自動執行,從而使間諜軟件很容易乘虛而入。Linux和Mac操作系統不允許這種自動執行,從而使它們更易抵制間諜軟件。更重要的是,Windows允許任何用戶(或間諜軟件)把動态鍊接庫裝載至内核之中,Linux的系統訪問卻要求擁有與之相對應的管理員特權。n
常用反間諜軟件産品評測n
測試的三款反間諜軟件程序是:n
Sunbelt Software的CounterSpy 1.5β版(尚未正式發布)、Webroot的Spy Sweeper 4和FBM Software的ZeroSpyware 2005。n各有所長n
以前版本的CounterSpy和Spy Sweeper都表現不俗。兩款新版本都包括了新功能,CounterSpy的Do Not Resuscitate(DNR)技術尤其令人關注。據Sunbelt介紹,DNR提高了防止“死而複生”(有些間諜軟件阻止被删除)的可能性。n不負衆望,Spy Sweeper 4的功能有了重大改進,可以清除88%的惡意軟件。而CounterSpy 1.5β版本在測試當中可以清除比前一版本更多的廣告軟件和間諜軟件,總體準确率高達95%。n
CounterSpy 1.5的最新版本體現了Sunbelt在程序内部所做的變化,這款工具不再使用與微軟的AntiSpyware産品同樣的引擎。該公司計劃以後推出版本2,并将界面進行徹底變革。n
ZeroSpyware 2005同樣表現出衆,它清除掉了86%的目标惡意軟件。與衆不同的是,還清除了96%的駐留在内存中的惡意進程。相比之下,Spy Sweeper隻能消除85%的内存駐留型進程。CounterSpy也能清除掉96%。n
除了掃描查找計算機上已經存在的間諜軟件,測試的三款産品還都提供了實時監控器,在一開始就讓間諜軟件和廣告軟件沒有藏身之地。ZeroSpyware更是與衆不同,它成功地阻止了企圖潛進系統的各種惡意軟件。遺憾的是,ZeroSpyware和另外兩款程序都允許網站自動被添加到“可信網站”區域。n
CounterSpy和Spy Sweepe還允許其他可能有害的行為。CounterSpy允許ISTbar工具欄溜過其防線,ISTbar随後就會添加到Windows的注冊表裡,作為活動的進程運行。Spy Sweeper同樣允許ISTbar,還允許搜索及安裝其他文件的SideFind BHO集成到浏覽器裡。在這兩種情況下,CounterSpy和Spy Sweeper在下一次預定掃描時會檢測到惡意軟件,并加以删除。n
雖然ZeroSpyware在利用實時監控器防止感染方面表現最佳,但該程序界面上,報警的位置卻很難更新。相比之下,CounterSpy會在屏幕右下角顯示報警内容,所以不會幹擾該程序界面及其他打開的窗口。Spy Sweeper結合了兩種方案。對于有可能引起感染的已知間諜軟件,Spy Sweeper會彈出主程序窗口,然後用報警内容加以覆蓋。否則,它會在屏幕右下方顯示報警内容。n
使用不便n
ZeroSpyware擁有出色的性能,但這款程序的易用性讓人不敢恭維。比如,很難找到更新的菜單,它隐藏在“一般設置”菜單中,部分程序選項出現在很難達到的另一個窗口,因為該窗口的一部分仍在可視區外面。n
一個禁用“讓廣告軟件和間諜軟件死而複活的進程”的辦法是重新啟動PC,進入“安全模式”。遺憾的是,在“安全模式”屏幕分辨率較低的情況下,CounterSpy的界面顯得太大了。這樣一來,幾乎沒法找到掃描按鈕。Spy Sweeper和ZeroSpyware在“安全模式”下表現都不錯,Spy Sweeper還專門為此提供了特殊的診斷版本。n
測試的這三款程序保護功能都非常強大。雖然ZeroSpyware在防止感染方面性能出衆,但其幹擾性很強的報警機制可能對已經重度感染的PC而言不太理想。Spy Sweeper可能是個比較好的選擇,因為它集成了報警機制。ZeroSpyware和Spy Sweeper的價格都是30美元,包括一年的免費更新和免費在線支持。n
盡管Spy Sweeper和ZeroSpyware都表現不俗,但給人留下最深印象的還是CounterSpy,在測試中,其新的引擎和改進的技術提供了最高的間諜軟件删除率。
如何删除
監測并删除‘間諜軟件’需要附件的軟件。一個免費的,非廣告資助的名為OptOut的産品,來自Gibson研究公司,可以識别若幹被認為會是‘間諜軟件’的程序,包括了Radiate的Aureate。OptOut掃描用戶的硬盤,允許用戶立即删除可疑的‘間諜軟件’或是監視它的繼續行為。另一個免費且非廣告資助的産品,ZoneAlarm,監視所有的因特網通信量,允許用戶停止任何未經授權的傳遞數據過程,隔離用戶的計算機不受諸如來自‘間諜軟件’的廣告傳遞。
注意:在免費軟件仍在安裝着的同時删除‘間諜軟件’程序可能禁止該免費應用軟件的使用。依然會存在的問題:你還會使用免費應用程序嗎?這交易。一方面,你正在敞開自己成為絕對的最終廣告目标。另外一方面,有的人正努力編寫你在免費使用着的高質量程序的代碼,隻需要你接受安裝廣告商的‘間諜軟件’作為他們的努力工作的補償。n
間諜軟件(Spyware)是能夠在使用者不知情的情況下,在用戶電腦上安裝後門程序的軟件。用戶的隐私數據和重要信息會被那些後門程序捕獲,甚至這些“後門程序”還能使黑客遠程操縱用戶的電腦。n
防治間諜軟件,應注意以下方面:n
第一,不要輕易安裝共享軟件或“免費軟件”,這些軟件裡往往含有廣告程序、間諜軟件等不良軟件,可能帶來安全風險。n
第二,有些間諜軟件通過惡意網站安裝,所以,不要浏覽不良網站。n
第三,采用安全性比較好的網絡浏覽器,并注意彌補系統漏洞n
第四,隻要手機不開通上網功能,所有的間諜軟件将不能監控。
