打开主菜单

求真百科

间谍软件

间谍软件
图片来自新浪网网络

间谍软件是一种能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。[1]

目录

基本简介

ASC(反间谍软件联盟)于2005年8月起草 “间谍软件”这一概念,并将“间谍软件和其他潜在的有害技术”如此定义:它能够“削弱用户对其使用经验、隐私和系统安全的物质控制能力;使用用户的系统资源,包括安装在他们电脑上的程序;或者搜集、使用、并散播用户的个人信息或敏感信息。”

“间谍软件”其实是一个灰色区域,所以并没有一个明确的定义。然而,正如同名字所暗示的一样,它通常被泛泛的定义为从计算机上搜集信息,并在未得到该计算机用户许可时便将信息传递到第三方的软件,包括监视击键,搜集机密信息(密码、信用卡号、PIN码等),获取电子邮件地址,跟踪浏览习惯等。间谍软件还有一个副产品,在其影响下这些行为不可避免的影响网络性能,减慢系统速度,进而影响整个商业进程。虽然其原理也是基于C/S模式的网络连接,但是在连接时却将态度转了180度:这次的入侵,发出第一个连接请求的不再是远程控制者使用的客户端,而是受害者的木马服务器端。第一个使用此概念的木马名为“网络神偷”,被设计用来从局域网内往外盗取文件数据。

间谍软件之所以成为灰色区域,主要因为它是一个包罗万象的术语,包括很多与恶意程序相关的程序,而不是一个特定的类别。大多数的间谍软件定义不仅涉及广告软件、色情软件和风险软件程序,还包括许多木马程序,如Backdoor Trojans, Trojan Proxies 和 PSW Trojans等。这些程序第一个AOL密码盗取程序出现时就已经存在,只是还没有“间谍软件”这个术语。

间谍软件的另外一个附属品就是广告软件。此时,间谍软件以恶意后门程序的形式存在,该程序可以打开端口、启动ftp服务器、或者搜集击键信息并将信息反馈给攻击者。间谍软件可以存在于合法的(并可接受的)商业应用程序中,可以给网络管理员在影响和监视系统方面很大的权力。

尽管这些程序并非很新,但有恶意目的的程序却不断增加,引起媒体和反间谍软件开发商的很大关注。

间谍软件是一种能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。

间谍软件为求生存空间,亦随着潮流而国际化。留意一件国际化了的间谍软件画面撷取。软件除了在视觉效果和感官上都力求与微软公司的反间谍软件类似,意图是混淆视听,使用户在不知不觉中让软件自行安装。

间谍软件产生商

  • GAIN:旗下的“商品”有

o Precision Time

o DateManager

o ErrorGuard、Malware Destructor:声称是“最有效的反间谍软件”,透过弹出视窗来恐吓用户,指他们在浏览儿童色情网页,而要向FBI告发,从而诱骗用户安装他们的软件。事后,有其他用户发现它其实亦是间谍软件。

o DashBar

o ScreenScenes: Butterfly Oasis Screensaver

  • Innovative Marketing, Inc.

o ErrorSafe:随同会安装Ethalone的Ghost install及HotBar。

危害

用户的隐私数据和重要信息会被“后门程序”捕获,并被发送给黑客、商业公司等。这些“后门程序”甚至能使用户的电脑被远程操纵,组成庞大的“僵尸网络”,这是网络安全的重要隐患之一。

例如:某些软件会获取用户的软硬件配置,并发送出去用于商业目的。

同时也是“广告软件”,此隐藏的软件程序将用户信息通过因特网传送给广告商,从而作为免费下载的软件的交换条件。假设你能够免费下载一个强大的应用程序,并且该程序能让你完成几乎是一个昂贵的知名品牌程序做的每一件事情,作为拥有这一不可思议的应用程序完全免费的交换,所有你需要做的就是贡献出你的姓名、地址、电话、电子邮件和一些其他的个人信息。听起来很不错,但是,假设你的个人信息还储存在硬盘的某处,在这种情况下,例行公事般经过因特网会把你的个人数据传送回广告商处,作为交换更多的广告的条件。我们来讨论一下‘间谍软件’,也就是‘广告软件’。据一个‘广告软件’公司Radiate宣称,“消费者可以点击[软件内部]的旗帜型标栏,接受互联网站的缓存页面查看或是订购广告中的产品。当用户回到网上,适当的信息被送到广告商那里,而且被Radiate追踪下来。”Radiate使用了名为Aureate的软件程序。它在安装原始的免费应用程序的同时被安装。同时还有其他一些公司提供另外的基本上也是相同的事情——记录用户的浏览习惯,然后通过因特网上载这些信息,作为交换更多广告的免费产品。

你怎样才能预先知道此事

下载站点,例如ZDNet下载软件,已经开始在有广告商资助的‘间谍软件’应用程序上贴出注意标签说明。在许多情况下,一个非广告商资助的应用程序版本也可以得到,如流行的Go!zilla程序就是这种情况。如果在下载的时候不清楚,要特别注意在程序安装过程中要求的许可协议和注册信息。相当多的高质量免费应用程序,或是免费软件,都拥有看似标准的用户注册表格——但是请小心,其中有一些,实际上是为所谓的‘广告软件’或‘间谍软件’统计数据的未来来源。原则上,该软件的提供者应该通知用户这些信息可能会被用于广告商。实践中,这样坦白的人非常难得,几乎没有。当你在点击并阅读所有提供的文本连接时,是非常值得的。请注意,软件提供者并没有被要求提供该信息,所以请按此概括准则做:任何离线应用程序的用户界面包含有旗帜标栏广告的都可能正在使用‘间谍软件’。下次你连接到互联网的时候,收集到的有关你点击哪条广告的信息,还有你查看广告站点的持续时间都会送回独自的广告商处。一次新鲜的广告补给——通常是基于你以前的广告点击或是安装时提供的人口统计学的信息——将会给你的应用程序界面以代替当前广告。警告:假定你已经厌烦了你的免费软件且使用Windows的“添加/删除程序”功能把它从你的系统中删除,间谍软件仍然会保留在你的计算机上,常常就是深埋于Windows的系统注册表里。

1. 手动或利用软件,把它们所属公司的网址放入屏障之内。

2. 谨慎安装随软件附带的插件。例如3721科技公司旗下的“上网助手”及“网络实名”、百度插件、划词搜索、网络猪等。

3. 对于Windows系统需要经常更新(update),为Internet Explorer的漏洞打上补丁。使用非IE浏览器,例如Firefox、Opera等,可以避免很多网页恶意代码。使用反间谍软件对系统进行扫描和清理,例如Windows Defender、AVG Anti-Spyware、CounterSpy等。

4. 使用可以监视程序通信情况的防火墙,例如在Windows下可以使用ZoneAlarm防火墙,禁止不明程序访问网络。

5. 检查系统中是否还有残存的不明程序,可以使用IceSword,大部分内核级的恶意程序,都会在IceSword中现形,当然也要求用户对Windows系统比较熟悉。

常用方法

最新的调查报告显示了反间谍软件工具的不足,“间谍”仍在网络上肆无忌惮地活动。但也不必垂头丧气,学习并遵循以下的十招办法,间谍软件将对你束手无策。

有的时候,真理和善良总是受到伤害,我们刚刚在反垃圾邮件上取得了一些进展,然而,间谍软件却又将填补这项空白。未来几年里,你将不得不耗费宝贵的时间,在工作中、在家里与间谍软件作斗争。

虽然市面上有数十种新的反间谍软件工具供我们使用,而且这些程序确实很有帮助,但是,运行反间谍软件实用程序只是解决方案的一部分,还有很多其他事情需要你做,请按照我们提供的10个步骤指南开始行动吧。

了解你的敌人

如果你天真地把间谍软件定义为Web网站留下来的小cookie文件的话,那么,你的挫折将永无止境。所有类型的变脸软件(Scumware)都将为你带来不幸,主要的四大类型是:

间谍软件(Spyware):一种可以秘密地收集有关你计算机信息的软件,并且可能向一些未知网站发送数据,包括“键盘记录软件”或“按键捕获寄生虫。(不要与“恶意软件(malware)混淆,恶意软件包括病毒、蠕虫和特洛伊木马程序)

广告软件(Adware):一种可以随机或者根据当前浏览器内容弹出广告和条幅的软件。

劫持软件(Hijackers):可以改变浏览器主页、缺省搜索引擎,甚至改变你的方向,使你无法到达你想到达的网站。

小甜饼文件(Cookies):可以跟踪Web网站参数选择和口令的小型文件。软件可以在用户不知道的情况下收集和扩散该信息。

以上四种类型中,广告软件是最讨厌的,而劫持软件和间谍软件却是危害最大的。

退出Internet Explorer

我们无法指控微软公司犯下了生成间谍软件的罪行。但是,Windows的设计,而且尤其是Internet Explorer却肯定使微软公司成了“间谍”的“同谋”。我们鼓励用户转向其他产品,例如Firefox或者Opera,两者均缺省设置封锁弹出文字。Firefox是免费的且已很普及,Opera则需要花几美元。

在笔者运行Windows XP Home的主要测试PC上,使用Internet Explorer和Outlook Express,结果发现了739个间谍软件。而在笔者的个人PC上,运行Firefox和Mozilla公司的Thunderbird电子邮件应用,结果才发现了11个间谍软件范例。而且,这11个间谍软件均是在笔者不得不使用Internet Explorer进入某些Web网站的时候,偷偷溜进这台PC的。

然而,不幸的是,有些网站却需要Internet Explorer,而那些与微软公司的Outlook电子邮件客户端有密切联系的用户也必须使用它。不过,还是有办法可以把感染Internet Explorer间谍软件的速度降下来。首先,禁止微软 ActiveX支持。在Internet Explorer里,点击Tools→Internet Options→Security→Custom Level,然后,点击迫使ActiveX控制在运行之前请求允许的检查框。

其次,安装Google Toolbar,它也可以封锁弹出文字。它适用于Internet Explorer 5.5及更高级产品,因此,你或许还需要升级浏览器。同样地,也可以运行只在Internet Explorer之内工作的弹出文字封锁软件,如StopZilla、123Ghosts Popup Killer、Ad Killer、Ad Muncher以及Anti Popup Pro。

阻止下载

仔细遵守如下要求:千万不要让技术新手尝试下载任何东西。然后,为他们下载并安装Google Toolbar。

用户希望从Web上下载“免费”程序,但是,请教会他们如何区分为了获得实用程序而访问的网站,与在弹出广告和垃圾邮件里出现的网站。

下定决心,千万别泄气,接受教育是不完善的这个事实。间谍软件传播者在说服人们下载间谍软件方面通常做的比你更好。所以,有必要对用户解释清楚,在浏览器页面旁边看起来象广告或朋友发给他们的那些链接,实际上是间谍软件散播的最常见方式。提醒你的用户对一些危险信号一定要敏感,如弹出的条幅广告说可以提供免费间谍软件检查(这是对信任的最残酷的滥用)。

教授备份和恢复的基本知识

由于许多用户不会留意你的警告,因此,应该教会他们如何从灾难当中恢复过来。如今,人们在计算机上有太多的东西,以致于他们懒得做各种备份选择。 存满备份数据的外部磁盘、磁带系统或CD可以减轻充斥着间谍软件的系统所带来的麻烦,并使其回到早期没有间谍软件的情况,从而使一切恢复正常。

教会用户如何在XP里生成恢复点,以及如何在每次从非知名网站下载之前设置一个恢复点。在大多新式的PC上,磁盘空间不是问题,而且,即使它们的硬盘存满了东西,创造一些恢复点也比清除间谍软件感染容易得多。

制作一张反间谍软件CD

把反间谍软件实用程序烧录到你的CD上,制作自己的间谍软件工具集也是个不错的办法。当你需要清除间谍软件时,寻找和等待工具软件的下载很浪费时间,CD-ROM磁盘价格很低廉,因此,多制作一些拷贝并把它们送给你的用户也是有效的手段。就笔者自己而言,有三个免费的实用程序,还有三个商业实用程序的测试版本。这些程序的容量为2M至10M字节,因此,标准CD上有足够的空间容纳它们。

运行至少两种间谍软件清除程序

根据我们的经验,没有任何一种间谍软件清除程序能够清除恶意代码的每一部分。所有实用程序都有盲点,而间谍软件编程人员却正好可以利用这些盲点。每家厂商都称其产品可以捕获所有的东西,但是,不管何时人们用一种反间谍工具清除100项威胁的时候,另一个工具还能再找出另外十几项威胁。

每一种间谍软件清除程序都会检查注册表,但是,由于间谍软件遵循微软的注册表词条规则,因此,它根本不可能完全清除间谍软件。

定期运行多个不同的实用程序,并确信它们都是最新的,做到这一点十分重要。付费清除程序可以提供更持续的文件更新,即使免费件也会定期增加一些新功能。运行,更新,再运行,再更新,对付间谍软件就要不断重复上述步骤。笔者的一般做法是:清除系统,重新启动进入安全模式,然后,使用另一种工具进行清除,然后,再重新启动。

封堵桌面通信漏洞

每一次间谍软件上传信息都意味着更多的未来问题,因为间谍软件可以进行自我更新,并增加新“性能”。封锁出站信息可以提高用户安全等级。

有一些(但不是全部)常驻反间谍软件实用程序可以封锁间谍软件上载,商用产品更好一些。不过,安装个人防火墙同样可以封锁上载。ZoneAlarm和Sygate Personal Firewall都很棒。

如今出售的几乎所有品牌路由器都包括防火墙保护。寻找可以对入站和出站信息包进行全状态检查的产品。个人防火墙和路由器控制的组合并非大材小用,尤其是对于那些无法抵制各种新鲜网站诱惑的用户来说更有必要。

处理DRM

在未来几年里,间谍软件还将继续存在的一个原因就是,各公司都在增加数字权利管理(DRM)在娱乐文件以及授权许可文件之上的使用。为这些应用留下的漏洞还将被间谍软件利用好几年的时间。跟踪诸如在线商店回头客之类的Cookie文件使得Web网站更人性化。但问题是,这些Cookie文件看起来很像间谍软件,从而很难在不杀死正常文件的情况下做出分辨。

对于新出现的娱乐播放应用情况也是一样,你下载的MP3音乐文件需要确认你有在移动设备上播放这些文件的权力,而新的反间谍软件有可能封锁对授权数据库进行的DRM查询。这一定义适用于商业应用许可文件和DRM应用许可文件等,至少在应用接口水平是这样。

一种解决办法就是避免诸如音乐播放程序之类的DRM应用,如果你喜欢音乐,那么,寻找一种能够定期更新其间谍软件数据库的反间谍软件,因为它可以协调好保护与音乐服务。

充分发挥AOL成员资格的优势

供AOL成员免费下载的间谍软件保护是另一项非常有用的添加产品,笔者发现其扫描速度虽然比其他许多间谍软件清除程序慢,但是,该程序却在CounterSpy和SpyBot进行清除之后又发现了另外7个间谍软件范例。

AOL还为用户提供一些非常有价值的保护,包括为其成员提供免费的技术支持。

推荐Macintosh或Linux系统

间谍软件主要攻击微软操作系统,通过Internet Explorer漏洞进入并隐藏在Windows的薄弱之处。有些间谍软件,尤其是恶意Cookie文件,可以在任何浏览器之内发生作用,但是,这只是间谍软件当中很小的一部分。

微软的一些软件产品,如Internet Explorer、Word、Outlook和Media Player,一旦下载就将自动执行,从而使间谍软件很容易乘虚而入。Linux和Mac操作系统不允许这种自动执行,从而使它们更易抵制间谍软件。更重要的是,Windows允许任何用户(或间谍软件)把动态链接库装载至内核之中,Linux的系统访问却要求拥有与之相对应的管理员特权。

常用反间谍软件产品评测

测试的三款反间谍软件程序是:

Sunbelt Software的CounterSpy 1.5β版(尚未正式发布)、Webroot的Spy Sweeper 4和FBM Software的ZeroSpyware 2005。

各有所长

以前版本的CounterSpy和Spy Sweeper都表现不俗。两款新版本都包括了新功能,CounterSpy的Do Not Resuscitate(DNR)技术尤其令人关注。据Sunbelt介绍,DNR提高了防止“死而复生”(有些间谍软件阻止被删除)的可能性。

不负众望,Spy Sweeper 4的功能有了重大改进,可以清除88%的恶意软件。而CounterSpy 1.5β版本在测试当中可以清除比前一版本更多的广告软件和间谍软件,总体准确率高达95%。

CounterSpy 1.5的最新版本体现了Sunbelt在程序内部所做的变化,这款工具不再使用与微软的AntiSpyware产品同样的引擎。该公司计划以后推出版本2,并将界面进行彻底变革。

ZeroSpyware 2005同样表现出众,它清除掉了86%的目标恶意软件。与众不同的是,还清除了96%的驻留在内存中的恶意进程。相比之下,Spy Sweeper只能消除85%的内存驻留型进程。CounterSpy也能清除掉96%。

除了扫描查找计算机上已经存在的间谍软件,测试的三款产品还都提供了实时监控器,在一开始就让间谍软件和广告软件没有藏身之地。ZeroSpyware更是与众不同,它成功地阻止了企图潜进系统的各种恶意软件。遗憾的是,ZeroSpyware和另外两款程序都允许网站自动被添加到“可信网站”区域。

CounterSpy和Spy Sweepe还允许其他可能有害的行为。CounterSpy允许ISTbar工具栏溜过其防线,ISTbar随后就会添加到Windows的注册表里,作为活动的进程运行。Spy Sweeper同样允许ISTbar,还允许搜索及安装其他文件的SideFind BHO集成到浏览器里。在这两种情况下,CounterSpy和Spy Sweeper在下一次预定扫描时会检测到恶意软件,并加以删除。

虽然ZeroSpyware在利用实时监控器防止感染方面表现最佳,但该程序界面上,报警的位置却很难更新。相比之下,CounterSpy会在屏幕右下角显示报警内容,所以不会干扰该程序界面及其他打开的窗口。 Spy Sweeper结合了两种方案。对于有可能引起感染的已知间谍软件,Spy Sweeper会弹出主程序窗口,然后用报警内容加以覆盖。否则,它会在屏幕右下方显示报警内容。

使用不便

ZeroSpyware拥有出色的性能,但这款程序的易用性让人不敢恭维。比如,很难找到更新的菜单,它隐藏在“一般设置”菜单中,部分程序选项在很难达到的另一个窗口出现,因为该窗口的一部分仍在可视区外面。

一个禁用“让广告软件和间谍软件死而复活的进程”的办法是重新启动PC,进入“安全模式”。遗憾的是, 在“安全模式”屏幕分辨率较低的情况下,CounterSpy的界面显得太大了。这样一来,几乎没法找到扫描按钮。Spy Sweeper和ZeroSpyware在“安全模式”下表现都不错,Spy Sweeper还专门为此提供了特殊的诊断版本。

测试的这三款程序保护功能都非常强大。虽然ZeroSpyware在防止感染方面性能出众,但其干扰性很强的报警机制可能对已经重度感染的PC而言不太理想。Spy Sweeper可能是个比较好的选择,因为它集成了报警机制。ZeroSpyware和Spy Sweeper的价格都是30美元,包括一年的免费更新和免费在线支持。

尽管Spy Sweeper和ZeroSpyware都表现不俗,但给人留下最深印象的还是CounterSpy,在测试中,其新的引擎和改进的技术提供了最高的间谍软件删除率。

如何删除

监测并删除‘间谍软件’需要附件的软件。一个免费的,非广告资助的名为OptOut的产品,来自Gibson研究公司,可以识别若干被认为会是‘间谍软件’的程序,包括了Radiate的Aureate。OptOut扫描用户的硬盘,允许用户立即删除可疑的‘间谍软件’或是监视它的继续行为。另一个免费且非广告资助的产品,ZoneAlarm,监视所有的因特网通信量,允许用户停止任何未经授权的传递数据过程,隔离用户的计算机不受诸如来自‘间谍软件’的广告传递。注意:在免费软件仍在安装着的同时删除‘间谍软件’程序可能禁止该免费应用软件的使用。一方面,你正在敞开自己成为绝对的最终广告目标。另外一方面,有的人正努力编写你在免费使用着的高质量程序的代码,只需要你接受安装广告商的‘间谍软件’作为他们的努力工作的补偿。

间谍软件(Spyware)是能够在使用者不知情的情况下,在用户电脑上安装后门程序的软件。 用户的隐私数据和重要信息会被那些后门程序捕获, 甚至这些 “后门程序” 还能使黑客远程操纵用户的电脑。

防治间谍软件,应注意以下方面 :

第一,不要轻易安装共享软件或“免费软件”,这些软件里往往含有广告程序、间谍软件等不良软件,可能带来安全风险。

第二,有些间谍软件通过恶意网站安装,所以,不要浏览不良网站。

第三,采用安全性比较好的网络浏览器,并注意弥补系统漏洞

第四,只要手机不开通上网功能,所有的间谍软件将不能监控。

参考来源