概念解析
细数2005年具有影响力的互联网事件,“流氓软件”这个词汇所引起的关注无疑是所有事件当中热度最高的一个。暂且不谈流氓软件事件的起因始末,也不论这一系列风潮中的是非对错,最严峻的问题仍然摆在人们面前,那就是软件用户的权益如何保障。无法解答这个问题其它一切言行皆显苍白无力。我们在这里尝试提供一些内容,希望可以帮助用户更好的认识恶意软件的情势,从而协助大家应对恶意软件所带来的侵扰。
相比于流氓软件这样的名词,我们更喜欢使用灰色软件这样的词汇。排除那些功能正常的软件,也排除那些以破坏目标系统为目的的以计算机病毒为主要形态的恶意软件,我们将那些不一定具有显式的破坏作用、但是对计算机具有潜在威胁并对用户造成干扰的软件称之为灰色软件,广义来说,就是介于计算机病毒和非计算机病毒之间的一个中间地带上的软件。寻本求源,由于早年的一些误解,导致目前很多媒体和消费群体习惯于将在计算机网络环境中实施破坏行为的人称之为“***”。然而很多具有技术背景或行业背景的人仍然坚持将这样的人称之为骇客,而保有对***这一原本象征着奉献、创新和高超技能的词汇的尊重。为了应对这种混乱,现在在资深计算机技术圈内为***这一名词加上了一些修饰,用以区分不同人群的行为。那些纯粹以***破坏行为达到目的的群体被称之为黑帽***,而潜心于技术创新和为技术领域奉献力量的用户被称之为白帽***,行为界于两个阵营之间无法被明确划分的群体则被称之为灰帽***。沿着这种认知,灰色软件这一词汇正越来越多的受到消费群体的认同,包括趋势科技在内的很多重要的安全产品厂商也使用这个名词来界定徘徊于病毒和正常软件之间的那些无法被明确划分阵营的软件。也许这种分类方法仍然不够明确,但是提供了一个足够成熟的基准供我们对这一问题进行认知和讨论,我们对于灰色软件一词的认同也基于此。
仅仅在几年前,我们还可以使用恶意软件和非恶意软件这样的分法来对软件的性质进行界定。然而在今天,随着互联网及相关应用的爆炸性增长,这种方法已经不再适用了。早期危害用户的恶意软件主要是计算机病毒,但是随着网络基础设施和软件应用的不断发展,恶意软件的形态也在不断变化。距此之前的几年中,网络蠕虫成为了对网络用户的最主要威胁。这种恶意程序的形态虽然与传统的病毒程序有着极大的不同,但是仍然保有了计算机病毒的一些基本特征,即具有繁殖能力和破坏能力。网络蠕虫病毒与早期计算机病毒的最主要区别在于其传播方式。在整个安全行业和全球的互联网用户对互联网病毒的应对刚刚有所成长的时候,另一波安全威胁浪潮已经近在咫尺,也就是我们上面所提到的灰色软件。现今的恶意软件越来越善于伪装自己,而且越来越深的潜入到正常软件阵营的内部,这些新兴的威胁也许代表了未来很多年中恶意软件的一种发展方向。
由于网络经济带来的巨大利益,违反用户权益的行为在快速滋生。既使是很多在互联网浪潮中快速成长起来并广受用户欢迎的企业,也由于严酷的竞争而抛弃了软件是为了用户而存在这样的崇高理念,而以纯粹的牟利为目的的网络罪犯更是无孔不入。曾经洁净甘甜的网络清潭正日益变得混浊,网络用户想在日益恶劣的环境中生存,就需要产生进化。诚如一句名言所讲:知者无畏。除了声讨不法行为之外,我们更要积极的对这些安全威胁进行学习,提高防范的能力。
灰色软件大盘点
为了更好的获得对灰色软件的认识,我们按照分类来描述不同类型的灰色软件。由于可以从很多角度审视一个灰色软件,另外由于大部分灰色软件都具有多种混合的特质,所以我们很难从单一的角度对所有的灰色软件进行划分,只能尽量根据主要的特性划分出一些灰色软件的分类,需要的情况下我们会做一些附加的说明和举例。
间谍软件
只所以将间谍软件划归到灰色软件范畴而不将其与病毒等同视之,原因在于间谍软件的“间谍性质”在多种灰色软件当中都能看到,而且间谍软件也并不符合传统的计算机病毒的定义。如果非要对间谍软件做一个界定的话,间谍软件是指那些在用户不知情的情况下秘密的窃取信息或对系统进行非授权使用的软件。其实大部分流行的灰色软件都带有一些间谍软件的特性,所以我们将间谍软件单独列出进行一些评述。最早的间谍程序通常都捆绑在正常的软件系统当中,厂商希望通过这些秘密的小程序了解用户的各种习惯和信息。这既是现代企业对用户信息的重视,又是对用户隐私的一种践踏。现在的间谍软已经越来越多的将盗窃和破坏做为主要目标,尽管那些未经允许收集用户资讯的行为仍在继续。与此同时,间谍软件这种秘密的进行一些不被允许工作的特性也逐渐融入到了所有的恶意软件当中。
密码窃取程序
随着越来越多的社会经济活动以及人们的生活行为透过网络来完成,骇客群体已经不仅仅将目光局限在盗窃计算机系统帐号上了,盗窃用户计算机中的各种金融和服务帐户信息成为了新的焦点。为了获得信用卡信息、银行帐号、付费服务登录帐号这些直接可以兑换经济利益的信息,骇客们无所不用其极,开发出大量的恶意软件用以从用户的系统中获取这些信息。密码窃取程序可能通过多种途径进入用户的计算机。以一些盗取银行帐号信息的恶意程序为例,如果用户所使用的系统具有某些特定的漏洞或缺陷,在浏览一些网站时程序会就会悄声无息的在用户的计算机上开始运行。一旦用户在计算机上使用或存储了银行帐号信息,窃取程序就会将这些信息抽取出来,发送到电子邮件等盗窃者指定的位置,很多这种银行密码窃取程序可以监听和探测数十种银行帐号。除了银行帐号等金融信息之外,包括一些互联网服务、聊天工具的密码也都有出现了专门的窃取工具。更为重要的是,目前在盗取到这些信息之后,已经有庞大而成熟的渠道对这些信息进行接手、处理、出售、变现等活动。这说明密码窃取程序已经不再是安全玩家手中的玩具,而成为了彻头彻尾的犯罪工具。
击键记录程序
这也是很典型的一种间谍程序,通过潜伏在用户的计算机内将用户敲击键盘的动作记录下来并发回给骇客。早期的击键记录程序记录用户的所有键盘操作,在接收到记录之后,必须手动在记录中寻找有用的信息。而现在的击键记录程序通常都有很强的目的性,针对特定的系统截取有用的部分进行记录。举例来说,监听Windows登录密码的程序会特别留意Ctrl+Alt+Del这样的组合键,因为这个组合键之后跟随的很可能输入的就是用户名和密码。现在流行着大量针对电子邮件、即时通讯等软件系统的击键记录程序,专门用于截取登录信息,这些程序可以识别到这些软件系统的登录操作,从而获取帐号信息。其实大部分密码窃取程序都内含了记录键盘动作的功能,这种窃取方式很多灰色软件都在使用,甚至还有一些程序可以截取用户屏幕图像。
远程控制工具
这种恶意程序的概念相对比较模糊,有些类似BOT这种控制傀儡主机的蠕虫或***程序。与BOT不同的是,一些远程控制程序的控制范围更加宽泛一些,能够用被控主机进行更多的工作,包括获取信息内容。虽然这种程序通常不会对目标计算机造成破坏,甚至用户根本不会感觉有受到影响,但是被植入了远程控制程序的计算机将会暴露一些本不该暴露的安全隐患,一些远程控制工具可能会在系统中留下后门会开启一些通信端口。同时在控制方操纵这些计算机进行破坏活动时,受控计算机的计算能力和网络带宽都要受到极大的消耗,同时被控计算机的用户也要对破坏行动的后果负有一定的道义上的责任。
广告程序
除了能够对系统造成破坏和影响乃至造成经济损失的恶意软件之外,现在的用户越来越无法忍受带有骚扰性的信息内容了。垃圾广告等垃圾信息问题已经成为危害互联网发展的重大阻碍。而且当下一些广告程序不但强制或诱导用户观看不希望观看的信息,还开始内置一些窃取用户信息的功能。对于日益重视隐私的现代社会来说,既使是用户的一些操作习惯和经常访问的网址信息都体现了用户的权益,不经用户允许就收集这些信息甚至收集帐号等敏感信息无疑是一种恶意行为。
拨号器
这是一种通过电话拨号来获取服务的小程序,正常的拨号器是由服务商向用户提供以访问他们所提供服务的。之后由于越来越多的互联网服务商开发出了各种通过计算机可获取的服务项目,而包括×××服务在内的很多服务又需要通过话费很高的接入号码进行接入,所以成为了滋生恶意行为的温床。恶意软件的设计者们开发出了一些具有非法用途的拨号器。这些恶意拨号程序被嵌入到网页、电子邮件等用户可能浏览的位置,感染的计算机将在用户毫无察觉的情况下拨入到一些付费服务号码。这类程序相当流行,为了更好的获得拨号控制权,甚至可以秘密的替代正常的互联网拨号。拨号器的危害性较大,能够给用户带来高额的经济损失,但是由于各国电信基础设施结构的不同,所以没有造成大面积的侵害。
即时通讯相关
即时通讯工具如此的流行,导致有越来越多的非法工具瞄准了这一领域。在国内流行的一些主要的即时通讯工具已经都发现了有针对性的威胁。目前对即时通讯的主要威胁包括垃圾信息发布、帐号窃取等等。窃取即时通讯工具的帐号信息自从这种应用受到消费者欢迎开始就一直没有停止过,但是由于一些专门窃听和破解即时通讯帐号的程序出现,这一问题已经到达了空前严重的程度。而垃圾信息发布则更加让用户切身体会到即时通讯领域的安全威胁。很多恶意程序通过即时通讯工具向使用者发送不受欢迎的垃圾信息,而且这类程序往往带有传染性。还有一些人通过即时通讯工具手动的发送非法信息,甚至开发出自动化的机器人程序与聊天用户进行交互,从而传达自己想传达的信息。由于即时通讯用户的巨大数量以及这个用户群体中所形成的一种信任机制,为这些恶意行为提供了社交工程方面的土壤。
BHO插件
BHO是Browser Helper Object(浏览器辅助对象)的缩写。当IE等网络浏览器软件启动时会自动加载BHO类型的小插件以一些功能。一般来说,这些BHO插件会包含在一些正常的软件程序当中,例如下载程序、翻译程序、浏览器管理等等。然而,并不是所有的BHO插件都以提供正常功能为目的,也有一些BHO插件在用户的计算机上实施非授权行为。基于浏览器程序是最主要的网络应用程序,所以大量的非法软件通过BHO插件的形式堂而皇之的入驻到浏览器程序当中,获取用户计算机的各种资料或霸占用户的资源。由于BHO是浏览器软件内建机制,所以通过BHO机制发生作用的恶意行为往往具有很强的伪装性,并对用户造成很大的困扰。除了BHO之外,一些基于ActiveX和Java等技术的插件也可能具有恶意目的,用户在使用浏览器插件的时候应该格外注意。
浏览器劫持
对浏览器进行控制无论对软件厂商还是恶意***者来说都可以获得相当的利益。以地址栏绑定为例,在网络浏览器的地址栏中嵌入软件以提供增值功能是目前一种相当流行的做法。这类插件的机制是当用户在浏览器软件的地址栏中输入了无法被正常解析的内容时,将转由插件来对这些内容进行解析并在浏览器中显示相应的内容。而一旦恶意用户或程序取得了浏览器的地址栏接口,用户在地址栏中输入的信息将曝露给恶意用户,而***者也可以以此为起点对用户的计算机进行控制。地址栏绑定还只是众多浏览器劫持行为中的一种而已,其它的浏览器劫持还包括将用户重定向到恶意网页、更改浏览器的主页地址、自动将网址加入用户的收藏夹、锁定某些浏览器选项、打开广告等非法页面等等。
工具栏程序
现在在网络浏览器的工具栏上安装程序已经成为发布网络应用程序的重要方式之一,大部分知名的互联网企业都纷纷发布这种浏览器插件,浏览器的工具栏成为了互联网企业的主战场。特别是当搜索引擎跃升成为顶级网络应用,Google、雅虎、微软等希望在搜索引擎领域占据统治地位的厂商纷纷推出自己的搜索工具栏程序。不仅如此,这些互联网巨头还将越来越多的服务都集成到了工具栏程序中,其它类型的工具栏应用更是不胜枚举。为了更大限度的吸引用户,一些工具栏程序在用户交互方面采取了一些带有强制性或者限制性的手段,另外有些工具栏程序还会排斥其它的同类程序。除此之外,现在的工具栏程序绑定的包括弹出宣传窗口之类的附加功能越来越多,而且越来越多的对系统文件进行修改和控制。这些以竞争为目的的措施会对用户的正常工作造成影响,甚至产生系统问题。
玩笑程序
最早的玩笑程序运行之后会中止当前用户的操作,并弹出一条消息(比如给我一块甜点),后来又出现了在用户屏幕上捣乱的玩笑程序。而在今天,玩笑的程序花样繁多,有的充满创意,有的令人恼怒,有的对用户的计算机系统产生真正的干扰。通常玩笑程序不具备病毒的繁殖和传播能力,而只是对执行了玩笑程序的系统产生作用。尽管纯粹意义上的玩笑程序并不具备破坏力,但是这类程序给计算机用户造成的困扰仍然不能忽视。玩笑程序主要作用于用户的心理,例如提醒用户的重要资料被清除了。对一些带有偏执色彩的程序作者来说,他们会尽可能的戏耍和侮辱执行这些程序的用户,而只是为了证明自己的创意。从心理影响和干扰的角度来看,一些判断力相对较差的用户以及那些情绪比较容易波动的用户更容易被这类程序侵害,而且对于类似资料被清除这样的提示来说,计算机技能较差的用户可能会变得手足无措,甚至自行做出一些玩笑程序所不具备的破坏行为。
骚扰程序
有一些软件程序在设计的时候没有充分考虑到用户的权益和感受,而形成了对用户的一些困扰,我们将具有这类特性的程序称之为骚扰程序。这些程序往往具备一些强制特性,例如强行弹出信息窗口、强行霸占系统造成不能对程序进行卸载、在没有得到用户授权的情况下进行秘密的安装等等。现在很多网站都会在用户浏览时安装一些插件程序,而这些插件程序与使用该网站并无关联,尽管无法明确的断言这种程序推广方式划归到恶意行为当中,但是有相当一部分用户都对这种行为深恶痛疾。引起中国互联网界广泛关注的流氓软件,其实大部分都带有这类不符合用户权益的行径。这类软件虽然并不应该象对待计算机病毒一样见则杀之,但是一款软件要是希望常驻用户硬盘使用户不离不弃,从设计和开发上下功夫才是正途,而不应该以霸占的方式来达到目的。
骇客工具
这一类程序主要为骇客所使用,对于正在被***者使用的工具程序来说,无疑是彻头彻尾的恶意软件。然而这些工具程序也可能会被藏匿在不知情用户的计算机中,尽管没有对这台计算机造成危害,但是却对整个网络环境有着潜在的威胁。除此之外,很多骇客所使用的工具程序同样也广泛的出现在网络管理员的工具箱中,所以有相当一部分骇客工具具有典型的灰色软件的性质:无法被明确的划归阵营。
只所以将间谍软件划归到灰色软件范畴而不将其与病毒等同视之,原因在于间谍软件的“间谍性质”在多种灰色软件当中都能看到,而且间谍软件也并不符合传统的计算机病毒的定义。如果非要对间谍软件做一个界定的话,间谍软件是指那些在用户不知情的情况下秘密的窃取信息或对系统进行非授权使用的软件。其实大部分流行的灰色软件都带有一些间谍软件的特性,所以我们将间谍软件单独列出进行一些评述。最早的间谍程序通常都捆绑在正常的软件系统当中,厂商希望通过这些秘密的小程序了解用户的各种习惯和信息。这既是现代企业对用户信息的重视,又是对用户隐私的一种践踏。现在的间谍软已经越来越多的将盗窃和破坏做为主要目标,尽管那些未经允许收集用户资讯的行为仍在继续。与此同时,间谍软件这种秘密的进行一些不被允许工作的特性也逐渐融入到了所有的恶意软件当中。
密码窃取程序
随着越来越多的社会经济活动以及人们的生活行为透过网络来完成,骇客群体已经不仅仅将目光局限在盗窃计算机系统帐号上了,盗窃用户计算机中的各种金融和服务帐户信息成为了新的焦点。为了获得信用卡信息、银行帐号、付费服务登录帐号这些直接可以兑换经济利益的信息,骇客们无所不用其极,开发出大量的恶意软件用以从用户的系统中获取这些信息。密码窃取程序可能通过多种途径进入用户的计算机。以一些盗取银行帐号信息的恶意程序为例,如果用户所使用的系统具有某些特定的漏洞或缺陷,在浏览一些网站时程序会就会悄声无息的在用户的计算机上开始运行。一旦用户在计算机上使用或存储了银行帐号信息,窃取程序就会将这些信息抽取出来,发送到电子邮件等盗窃者指定的位置,很多这种银行密码窃取程序可以监听和探测数十种银行帐号。除了银行帐号等金融信息之外,包括一些互联网服务、聊天工具的密码也都有出现了专门的窃取工具。更为重要的是,目前在盗取到这些信息之后,已经有庞大而成熟的渠道对这些信息进行接手、处理、出售、变现等活动。这说明密码窃取程序已经不再是安全玩家手中的玩具,而成为了彻头彻尾的犯罪工具。
击键记录程序
这也是很典型的一种间谍程序,通过潜伏在用户的计算机内将用户敲击键盘的动作记录下来并发回给骇客。早期的击键记录程序记录用户的所有键盘操作,在接收到记录之后,必须手动在记录中寻找有用的信息。而现在的击键记录程序通常都有很强的目的性,针对特定的系统截取有用的部分进行记录。举例来说,监听Windows登录密码的程序会特别留意Ctrl+Alt+Del这样的组合键,因为这个组合键之后跟随的很可能输入的就是用户名和密码。现在流行着大量针对电子邮件、即时通讯等软件系统的击键记录程序,专门用于截取登录信息,这些程序可以识别到这些软件系统的登录操作,从而获取帐号信息。其实大部分密码窃取程序都内含了记录键盘动作的功能,这种窃取方式很多灰色软件都在使用,甚至还有一些程序可以截取用户屏幕图像。
远程控制工具
这种恶意程序的概念相对比较模糊,有些类似BOT这种控制傀儡主机的蠕虫或***程序。与BOT不同的是,一些远程控制程序的控制范围更加宽泛一些,能够用被控主机进行更多的工作,包括获取信息内容。虽然这种程序通常不会对目标计算机造成破坏,甚至用户根本不会感觉有受到影响,但是被植入了远程控制程序的计算机将会暴露一些本不该暴露的安全隐患,一些远程控制工具可能会在系统中留下后门会开启一些通信端口。同时在控制方操纵这些计算机进行破坏活动时,受控计算机的计算能力和网络带宽都要受到极大的消耗,同时被控计算机的用户也要对破坏行动的后果负有一定的道义上的责任。
广告程序
除了能够对系统造成破坏和影响乃至造成经济损失的恶意软件之外,现在的用户越来越无法忍受带有骚扰性的信息内容了。垃圾广告等垃圾信息问题已经成为危害互联网发展的重大阻碍。而且当下一些广告程序不但强制或诱导用户观看不希望观看的信息,还开始内置一些窃取用户信息的功能。对于日益重视隐私的现代社会来说,既使是用户的一些操作习惯和经常访问的网址信息都体现了用户的权益,不经用户允许就收集这些信息甚至收集帐号等敏感信息无疑是一种恶意行为。
拨号器
这是一种通过电话拨号来获取服务的小程序,正常的拨号器是由服务商向用户提供以访问他们所提供服务的。之后由于越来越多的互联网服务商开发出了各种通过计算机可获取的服务项目,而包括×××服务在内的很多服务又需要通过话费很高的接入号码进行接入,所以成为了滋生恶意行为的温床。恶意软件的设计者们开发出了一些具有非法用途的拨号器。这些恶意拨号程序被嵌入到网页、电子邮件等用户可能浏览的位置,感染的计算机将在用户毫无察觉的情况下拨入到一些付费服务号码。这类程序相当流行,为了更好的获得拨号控制权,甚至可以秘密的替代正常的互联网拨号。拨号器的危害性较大,能够给用户带来高额的经济损失,但是由于各国电信基础设施结构的不同,所以没有造成大面积的侵害。
即时通讯相关
即时通讯工具如此的流行,导致有越来越多的非法工具瞄准了这一领域。在国内流行的一些主要的即时通讯工具已经都发现了有针对性的威胁。目前对即时通讯的主要威胁包括垃圾信息发布、帐号窃取等等。窃取即时通讯工具的帐号信息自从这种应用受到消费者欢迎开始就一直没有停止过,但是由于一些专门窃听和破解即时通讯帐号的程序出现,这一问题已经到达了空前严重的程度。而垃圾信息发布则更加让用户切身体会到即时通讯领域的安全威胁。很多恶意程序通过即时通讯工具向使用者发送不受欢迎的垃圾信息,而且这类程序往往带有传染性。还有一些人通过即时通讯工具手动的发送非法信息,甚至开发出自动化的机器人程序与聊天用户进行交互,从而传达自己想传达的信息。由于即时通讯用户的巨大数量以及这个用户群体中所形成的一种信任机制,为这些恶意行为提供了社交工程方面的土壤。
BHO插件
BHO是Browser Helper Object(浏览器辅助对象)的缩写。当IE等网络浏览器软件启动时会自动加载BHO类型的小插件以一些功能。一般来说,这些BHO插件会包含在一些正常的软件程序当中,例如下载程序、翻译程序、浏览器管理等等。然而,并不是所有的BHO插件都以提供正常功能为目的,也有一些BHO插件在用户的计算机上实施非授权行为。基于浏览器程序是最主要的网络应用程序,所以大量的非法软件通过BHO插件的形式堂而皇之的入驻到浏览器程序当中,获取用户计算机的各种资料或霸占用户的资源。由于BHO是浏览器软件内建机制,所以通过BHO机制发生作用的恶意行为往往具有很强的伪装性,并对用户造成很大的困扰。除了BHO之外,一些基于ActiveX和Java等技术的插件也可能具有恶意目的,用户在使用浏览器插件的时候应该格外注意。
浏览器劫持
对浏览器进行控制无论对软件厂商还是恶意***者来说都可以获得相当的利益。以地址栏绑定为例,在网络浏览器的地址栏中嵌入软件以提供增值功能是目前一种相当流行的做法。这类插件的机制是当用户在浏览器软件的地址栏中输入了无法被正常解析的内容时,将转由插件来对这些内容进行解析并在浏览器中显示相应的内容。而一旦恶意用户或程序取得了浏览器的地址栏接口,用户在地址栏中输入的信息将曝露给恶意用户,而***者也可以以此为起点对用户的计算机进行控制。地址栏绑定还只是众多浏览器劫持行为中的一种而已,其它的浏览器劫持还包括将用户重定向到恶意网页、更改浏览器的主页地址、自动将网址加入用户的收藏夹、锁定某些浏览器选项、打开广告等非法页面等等。
工具栏程序
现在在网络浏览器的工具栏上安装程序已经成为发布网络应用程序的重要方式之一,大部分知名的互联网企业都纷纷发布这种浏览器插件,浏览器的工具栏成为了互联网企业的主战场。特别是当搜索引擎跃升成为顶级网络应用,Google、雅虎、微软等希望在搜索引擎领域占据统治地位的厂商纷纷推出自己的搜索工具栏程序。不仅如此,这些互联网巨头还将越来越多的服务都集成到了工具栏程序中,其它类型的工具栏应用更是不胜枚举。为了更大限度的吸引用户,一些工具栏程序在用户交互方面采取了一些带有强制性或者限制性的手段,另外有些工具栏程序还会排斥其它的同类程序。除此之外,现在的工具栏程序绑定的包括弹出宣传窗口之类的附加功能越来越多,而且越来越多的对系统文件进行修改和控制。这些以竞争为目的的措施会对用户的正常工作造成影响,甚至产生系统问题。
玩笑程序
最早的玩笑程序运行之后会中止当前用户的操作,并弹出一条消息(比如给我一块甜点),后来又出现了在用户屏幕上捣乱的玩笑程序。而在今天,玩笑的程序花样繁多,有的充满创意,有的令人恼怒,有的对用户的计算机系统产生真正的干扰。通常玩笑程序不具备病毒的繁殖和传播能力,而只是对执行了玩笑程序的系统产生作用。尽管纯粹意义上的玩笑程序并不具备破坏力,但是这类程序给计算机用户造成的困扰仍然不能忽视。玩笑程序主要作用于用户的心理,例如提醒用户的重要资料被清除了。对一些带有偏执色彩的程序作者来说,他们会尽可能的戏耍和侮辱执行这些程序的用户,而只是为了证明自己的创意。从心理影响和干扰的角度来看,一些判断力相对较差的用户以及那些情绪比较容易波动的用户更容易被这类程序侵害,而且对于类似资料被清除这样的提示来说,计算机技能较差的用户可能会变得手足无措,甚至自行做出一些玩笑程序所不具备的破坏行为。
骚扰程序
有一些软件程序在设计的时候没有充分考虑到用户的权益和感受,而形成了对用户的一些困扰,我们将具有这类特性的程序称之为骚扰程序。这些程序往往具备一些强制特性,例如强行弹出信息窗口、强行霸占系统造成不能对程序进行卸载、在没有得到用户授权的情况下进行秘密的安装等等。现在很多网站都会在用户浏览时安装一些插件程序,而这些插件程序与使用该网站并无关联,尽管无法明确的断言这种程序推广方式划归到恶意行为当中,但是有相当一部分用户都对这种行为深恶痛疾。引起中国互联网界广泛关注的流氓软件,其实大部分都带有这类不符合用户权益的行径。这类软件虽然并不应该象对待计算机病毒一样见则杀之,但是一款软件要是希望常驻用户硬盘使用户不离不弃,从设计和开发上下功夫才是正途,而不应该以霸占的方式来达到目的。
骇客工具
这一类程序主要为骇客所使用,对于正在被***者使用的工具程序来说,无疑是彻头彻尾的恶意软件。然而这些工具程序也可能会被藏匿在不知情用户的计算机中,尽管没有对这台计算机造成危害,但是却对整个网络环境有着潜在的威胁。除此之外,很多骇客所使用的工具程序同样也广泛的出现在网络管理员的工具箱中,所以有相当一部分骇客工具具有典型的灰色软件的性质:无法被明确的划归阵营。
如何应对灰色软件
上面我们描述了灰色软件范畴内的很多个分类,大家对灰色软件应该有了进一步的认识,但是如何防止这些侵害呢?
用户习惯篇
在面对灰色软件威胁的时候,首先应该保证的一点就是养成良好的操作习惯。绝大部分灰色软件必须在目标计算机上被执行才能产生作用,而这往往是通过诱骗等社交工程手段完成的。例如这些灰色软件可能会通过电子邮件发送给用户,而这些电子邮件的标题反映了当时一些惹人注目的事件,当用户点击这些标题浏览电子邮件的时候,灰色软件就悄声无息的进入到了用户的计算机。当前的互联网环境可谓陷阱步步,在每一次鼠标点击之前用户的头脑当中都不应该忘记这些危险。对于那些不明来源的电子邮件、可信力不高的链接,在按下鼠标之前都应该提高警惕。有很多用户因为不了解这些安全危险,对带有非法内容的广告、聊天好友发来的链接等等进行了点击,却不知很多恶意程序已经传送到了自己的计算机当中。所以说,好的使用习惯是防范灰色软件乃至所有恶意软件的第一道防线。另外,由于很多灰色软件特别骚扰性程序会捆绑在正常的软件程序当中被安装。所以在安装软件程序的时候一定要注意是否有这种捆绑行为。大部分共享软件在捆绑这些程序的时候都会提供选项可以让用户不安装正常软件之外的捆绑部分,除了那些具有间谍性质的灰色软件之外。从用户的利益出发,在正常软件中捆绑程序的时候,应该将是否安装这些程序的默认选择置为“否”,以避免用户误装这些程序,这也是在用户权益最大化情况下的一种考虑。另外,很多侵害了用户权力的软件在其用户许可说明中规定了软件开发商和软件用户之间的责权划分。从法律的角度而言,如果用户接受了这一条款,既使软件的一些行为有触犯用户权益之嫌,但是并也属于在用户授权之下的合法行为。由于用户很少仔细的阅读这些条款,所以现在用户许可栏已经成为很多软件厂商逃避责任的一种工具。这就要求用户在安装各种软件之前尽可能浏览一下用户许可栏中的内容,以免被一些投机取巧的行为钻了空子。
测试评估篇
除了用户自身要对灰色软件提高警惕之外,还应该积极的应用防范恶意软件的工具程序以更好的抵御这些威胁。目前应对各种恶意软件的产品数不胜数,很多种类的灰色软件其实都有专门的工具存在。例如处理浏览器劫持的各种浏览器保护和管理软件、处理间谍和***程序的专门工具软件等等。既使有这么多工具可以使用,但是整体局势仍旧不是非常乐观。最重要的原因在于针对某种灰色软件的工具只能应对这个种类的威胁,而对其它种类的灰色软件则无法发挥作用。真正有效的灰色软件防范产品应该是能够针对所有种类发挥作用的,这也是为什么有大量的用户寄希望与防病毒软件的原因。现在的很多防病毒厂商已经在产品中集成了处理灰色软件的能力,只是这些功能还没有完全的整合到防病毒引擎当中。之所以如此,是因为对于灰色软件的界定还无法在行业内达成共识,而且不同的用户群体对一个软件是属于正常软件还是灰色软件都有不同的认知,很难达到向对待计算机病毒那样的统一意见。所以就出现了不同防病毒产品对不同的灰色软件分类进行查杀时有所侧重的问题,这体现了防病毒厂商对各种灰色软件的认知和态度。也许更理想的状况是在行业内形成一套较为统一的分类标准,这样厂商才能在设计产品的时候有所依托。在此基础上,厂商可以在产品中将查杀范围根据恶意软件的种类进行划分,从而使用户根据自己的应用情况灵活的选择查杀哪些种类的恶意软件以及对哪些种类的恶意软件置之不理。
为了更客观的说明目前防病毒产品在检测灰色软件方面的能力,我们组织了一次小规模的灰色软件检测评估。参加此次评估的厂商包括了赛门铁克、趋势科技、金山和瑞星,另外我们还在评估中加入了可以免费获取的开放源代码的防病毒软件ClamWin。ClamWin是著名的开源防病毒软件Clam的Windows版本,大家可以从这个产品的测试结果获得更多参考信息。我们按照所描述的灰色软件分类对测试样本进行分拣,虽然很多分类所样本数量只有寥寥数个,但都是在国内获得较广泛流行的灰色软件样本。由于每个防病毒厂商对于灰色软件的态度和处理策略都不尽相同,所以应该以参考的角度来使用这些信息,而不应该将其做为证明产品能力的依据。
测试说明
硬件环境:P4 2.4G中央处理器/256M DDR333 内存/80G酷鱼硬盘/1M ADSL Internet链接
软件环境:Windows 2000专业版sp4(IE6.0)
参测产品:
趋势科技PC-cillin 2005 12.0.1389 (引擎版本7.510.1102/病毒码版本2.827.00)
诺顿网络安全特警2005英文版 11.5.6.14
金山毒霸2005 7.0.0.1840(引擎版本2005.04.05.59/病毒库版本2005.09.09.10)
瑞星杀毒软件2005 17.43.42
在测试每种防病毒软件之前,都会从清洁的源介质中恢复被测样本,以保证测试的准确。所有防病毒软件的更新日期都是2005年9月9日,更新间隔相差不超过3小时。
硬件环境:P4 2.4G中央处理器/256M DDR333 内存/80G酷鱼硬盘/1M ADSL Internet链接
软件环境:Windows 2000专业版sp4(IE6.0)
参测产品:
趋势科技PC-cillin 2005 12.0.1389 (引擎版本7.510.1102/病毒码版本2.827.00)
诺顿网络安全特警2005英文版 11.5.6.14
金山毒霸2005 7.0.0.1840(引擎版本2005.04.05.59/病毒库版本2005.09.09.10)
瑞星杀毒软件2005 17.43.42
在测试每种防病毒软件之前,都会从清洁的源介质中恢复被测样本,以保证测试的准确。所有防病毒软件的更新日期都是2005年9月9日,更新间隔相差不超过3小时。
测试数据
以下是测试数据,其中按照分类列出了所有产品检查到的灰色软件数量以及检测比率。
以下是测试数据,其中按照分类列出了所有产品检查到的灰色软件数量以及检测比率。
测试总评
间谍软件部分的检测所使用的样本数量是所有分类中最多的,这个部分的检测中没有表现特别突出的产品,既使是取得最高成绩的诺顿其检出率也没有突破50%。值得一提的是ClamWin取得了诺顿相同的成绩,这说明这款免费的产品确实具有一定的检测能力。
密码窃取程序部分就是国内厂商的天下了,瑞星和金山的成绩都很突出,这与本地化方面的能力是分不开的。在针对各种网络应用软件、网络游戏的帐号窃取工具出现之后,瑞星和金山等国内厂商就及时的推出了针对这些威胁的专用清除工具和集成在防病毒软件当中的解决方案。
击键记录部分采用的样本是两个在国内非常流行的击键记录程序,这两个样本是纯粹意义上的击键记录程序,而并不是包含了击键记录功能的间谍程序。在该部分的测试中诺顿和瑞星各查出一种,趋势和金山没有检测出任何一种。
远程访问工具部分的测试结果比较令人满意,大部分产品都获得了极佳的检测结果。由于这个部分的程序与BOT、***和蠕虫病毒有很多类似之处,所以相信大部分防病毒厂商都倾向于将其划归为计算机病毒处理,所以这样的好成绩也是在情理之中。
广告程序部分的检测成绩所有参测产品基本都在同一水平线上,但是总体来看只能勉强接受。尽管广告程序通常并不引起较严重的安全问题,但是以此类软件为代表造成的垃圾信息传播行为已经成为众矢之的。
在拨号器部分我们分拣出几种常见的拨号器程序样本,只有诺顿能够完全检出这些程序。这类软件的威胁较大,一旦漏网将可能造成比较严重的损失,所以防病毒厂商和用户切不可对这类程序掉以轻心。
即时通讯工具分类的检测所采用的样本主要与腾讯QQ和微软MSN相关,因为这是在国内占据较重要地位的两种即时通讯工具,也是受到***较多的。与密码窃取程序的情况一样,金山和瑞星的表现充分说明了本土厂商的优势。
玩笑程序部分的成绩比较平均,只有瑞星稍差一点。做为一种具有悠久历史的恶意软件,现在的防病毒厂商已经都将玩笑程序纳入到自己的处理范围内了,这是测试结果可以证明的最主要问题。
BHO插件是灰色软件的典型代表之一,通常带有恶意性质的BHO插件也往往具有很多对用户有益的功能,与技术处理相比,更加困难的是界定哪些BHO插件应该被查杀。所以该部分的成绩更多的意义在于参考,从测试表现的角度来讲应该都是令人满意的。
浏览器劫持部分的结果让人稍感意外,正式参测的产品中只有诺顿能够检测到浏览器劫持程序,我们选用的样本主要是劫持浏览器地址栏的灰色软件。有趣的是,ClamWin第二次取得了和诺顿完全相同的成绩,不知道是巧合还是这两个产品之间有什么内在关联。
工具栏程序通常只在用户授权的情况下才能安装,我们选择的样本大部分属于带来非授权信息显示的工具栏程序,对用户的影响较轻。所以,尽管所有产品的检测成绩都不突出,但是并不是不可以接受的结果。
骚扰程序部分采用的是与这个分类描述相符的一组具有对用户有益功能的软件,包括在流氓软件论战中一些被广泛提及的程序。所有的参测软件都没有对这些程序进行报警,在这类程序是否应该由防病毒软件处理的争论尘埃落定之前,防病毒厂商应该不会对这些程序进行处理。
恶意软件部分的成绩没有太多可评论之处,目前防病毒厂商对这类工具的策略倾向于检查那些无可非议的***工具,而对于哪些界定比较模糊的工具则置之不理。
综合来看,诺顿的表现是所有产品中最突出的,标榜全面防护的赛门铁克看来确实对计算机病毒之外的恶意软件威胁下了一番功夫。不过既使以诺顿的总检出成绩也没有达到令人放心满意的程度。尽管这次检测所使用的样本数量不多,但是由于挑选出的样本都是流行程度较高的,所以这样的成绩还不能让我们乐观,我们希望防病毒厂商能够加大研发力度,为用户提供更加强大的恶意软件防范产品。
密码窃取程序部分就是国内厂商的天下了,瑞星和金山的成绩都很突出,这与本地化方面的能力是分不开的。在针对各种网络应用软件、网络游戏的帐号窃取工具出现之后,瑞星和金山等国内厂商就及时的推出了针对这些威胁的专用清除工具和集成在防病毒软件当中的解决方案。
击键记录部分采用的样本是两个在国内非常流行的击键记录程序,这两个样本是纯粹意义上的击键记录程序,而并不是包含了击键记录功能的间谍程序。在该部分的测试中诺顿和瑞星各查出一种,趋势和金山没有检测出任何一种。
远程访问工具部分的测试结果比较令人满意,大部分产品都获得了极佳的检测结果。由于这个部分的程序与BOT、***和蠕虫病毒有很多类似之处,所以相信大部分防病毒厂商都倾向于将其划归为计算机病毒处理,所以这样的好成绩也是在情理之中。
广告程序部分的检测成绩所有参测产品基本都在同一水平线上,但是总体来看只能勉强接受。尽管广告程序通常并不引起较严重的安全问题,但是以此类软件为代表造成的垃圾信息传播行为已经成为众矢之的。
在拨号器部分我们分拣出几种常见的拨号器程序样本,只有诺顿能够完全检出这些程序。这类软件的威胁较大,一旦漏网将可能造成比较严重的损失,所以防病毒厂商和用户切不可对这类程序掉以轻心。
即时通讯工具分类的检测所采用的样本主要与腾讯QQ和微软MSN相关,因为这是在国内占据较重要地位的两种即时通讯工具,也是受到***较多的。与密码窃取程序的情况一样,金山和瑞星的表现充分说明了本土厂商的优势。
玩笑程序部分的成绩比较平均,只有瑞星稍差一点。做为一种具有悠久历史的恶意软件,现在的防病毒厂商已经都将玩笑程序纳入到自己的处理范围内了,这是测试结果可以证明的最主要问题。
BHO插件是灰色软件的典型代表之一,通常带有恶意性质的BHO插件也往往具有很多对用户有益的功能,与技术处理相比,更加困难的是界定哪些BHO插件应该被查杀。所以该部分的成绩更多的意义在于参考,从测试表现的角度来讲应该都是令人满意的。
浏览器劫持部分的结果让人稍感意外,正式参测的产品中只有诺顿能够检测到浏览器劫持程序,我们选用的样本主要是劫持浏览器地址栏的灰色软件。有趣的是,ClamWin第二次取得了和诺顿完全相同的成绩,不知道是巧合还是这两个产品之间有什么内在关联。
工具栏程序通常只在用户授权的情况下才能安装,我们选择的样本大部分属于带来非授权信息显示的工具栏程序,对用户的影响较轻。所以,尽管所有产品的检测成绩都不突出,但是并不是不可以接受的结果。
骚扰程序部分采用的是与这个分类描述相符的一组具有对用户有益功能的软件,包括在流氓软件论战中一些被广泛提及的程序。所有的参测软件都没有对这些程序进行报警,在这类程序是否应该由防病毒软件处理的争论尘埃落定之前,防病毒厂商应该不会对这些程序进行处理。
恶意软件部分的成绩没有太多可评论之处,目前防病毒厂商对这类工具的策略倾向于检查那些无可非议的***工具,而对于哪些界定比较模糊的工具则置之不理。
综合来看,诺顿的表现是所有产品中最突出的,标榜全面防护的赛门铁克看来确实对计算机病毒之外的恶意软件威胁下了一番功夫。不过既使以诺顿的总检出成绩也没有达到令人放心满意的程度。尽管这次检测所使用的样本数量不多,但是由于挑选出的样本都是流行程度较高的,所以这样的成绩还不能让我们乐观,我们希望防病毒厂商能够加大研发力度,为用户提供更加强大的恶意软件防范产品。
转载于:https://blog.51cto.com/ionwing/56923
扫一扫
1193
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
