||||
对于过去一两年来上网冲浪的人来说,间谍软件一词会让他们产生强烈反响。 弹出式广告、互联网连接速度骤降和桌面上神秘出现的奇怪图标(无法删除),诸类事件均与间谍软件程序脱不了干系。 这些看似简单的扰人行为有时会成为明显的恶意行为,虽然这种情况不太常见。 例如,该程序可能会搜索和窃取机密信息(如用户名和密码),用于欺诈活动。
间谍软件尚属于新生词汇,目前很多程序都被归为此类,因此,关于这些程序以及它们给用户和企业招致的安全风险,很多人仍不太了解。 赛门铁克一直致力于保护个人和企业免遭恶意软件的侵扰,在这方面有着 20 多年的丰富经验,可有效帮助您了解和处理间谍软件问题。 赛门铁克以客户与合作伙伴的需求为动力,以我们在安全领域的多年领先优势为后盾,总结出一套独具特色的反间谍软件方法。 借助此方法,用户和企业可以有效控制他们的环境和系统,删除不必要的程序,而保留重要的软件。
2003 年,当互联网上肆虐着 Blaster、Welchia 及其他一些抢眼的恶意软件时,间谍程序正悄悄地在用户系统中大量传播。 赛门铁克将这种新出现的风险称为 扩展威胁 (expanded threat),针对此,我们提供了诺顿产品和赛门铁克防病毒软件产品,帮助客户找出计算机上的间谍软件和其他不必要的程序。 由于当时多数人为颇具破坏性的恶意软件所吸引,在这片沸扬声中,这一问题很少为人所知,而客户面对此类问题急需帮助时,赛门铁克的保护措施发挥了很好的作用。
随着时代的变迁,对于上面提到的 扩展威胁,赛门铁克的应对方法也在不断发展,以有效应对目前广泛称之为间谍软件的程序。 我们反间谍软件方法的核心理念是,明确区分间谍软件和广告软件程序,利用实践经验进行风险分析,同时,为客户提供清晰的指导,并有力去除多余的软件,帮助客户轻松了解和控制其系统上的内容。
这一方法是我们在处理类似安全问题方面多年经验的结晶。 举例来说,对于有些人可以接受但有些排斥的内容(如成人内容),多年来,借助赛门铁克产品,用户都可以控制是否让此类内容出现在其系统上。 这类问题通常因用户偏好和计算机使用地点(例如,在家里或办公室)而有所变化,我们在应对此类挑战方面的丰富经验证明,宣传教育和灵活应对非常重要。 以此为宗旨,赛门铁克立志做好客户的指导,让他们作出于己、于家庭或于企业最明智的选择。
同时我们深知,有一点非常重要 - 不要对安全问题“过度紧张”,否则会给人带来不必要的恐惧和疑惑,而降低人们对真正严重威胁的敏感性。 鉴于此,赛门铁克对恶意软件和不受欢迎的应用程序进行了明确区分。恶意软件威胁可以是来自病毒;而间谍软件和广告软件属于不受欢迎的应用程序,赛门铁克将其划入安全风险之列。除间谍软件和广告软件以外,安全风险还包括拨号程序、远程访问实用程序、黑客工具以及系统需要或不需要的其他类型的应用程序。
对于间谍软件和广告软件,行业组织、科研机构、反间谍软件公司及其他组织使用的定义有很多类似之处,但是,对于如何描述这个不断发展、充满迷惑的领域时,业界尚未达成共识。 赛门铁克对间谍软件和广告软件的定义是:
间谍软件:间谍软件是一种程序,能够扫描系统或监控活动,并将信息中继到网络中的其他计算机或位置。 在间谍软件作用下,各种信息主动或被动的遭到收集并加以散布,这些信息包括密码、登录信息、帐号、个人信息、单个文件或其他个人文档。 间谍软件还可以收集并分发与用户计算机、计算机上运行的应用程序、Internet 浏览器的用法或其他计算机使用习惯有关的信息。
间谍软件总是试图掩人耳目,要么采取主动隐藏的方式,要么只是不出现在用户熟悉的系统上。 通过网站(通常在共享软件或免费软件中)、电子邮件消息和即时消息程序,此类程序都会得以传播。 另外,用户接受某些软件程序(链接到间谍软件)的最终用户许可证协议时,可能会在毫无察觉的情况下收到和/或打开间谍软件;访问网站时也会使间谍软件得以下载(可能提供最终用户许可协议,也可能不提供)。
广告软件:通过自身或其他程序的界面向用户提供广告内容的程序。 在某些情况下,这些程序可能会从用户的计算机收集信息,包括与 Internet 浏览器用法或其他计算机使用习惯有关的信息,并将这些信息中继到网络中的远程计算机或其他位置。
广告软件可以通过网站(通常在共享软件或免费软件内)、电子邮件消息和即时消息程序传播。 另外,用户接受某些软件程序(链接到间谍软件)的最终用户许可证协议时,可能会在毫无察觉的情况下收到和/或打开广告软件;访问网站时也会使广告软件得以下载(可能提供最终用户许可协议,也可能不提供)。
赛门铁克对间谍软件和广告软件程序所做的定义,无意于对此类软件的恰当性及开发和散播此类软件的企业做价值评判。 赛门铁克的定义只是为了说明这些程序的功能,便于根据他们的风险状况对其进行分类。
对于蠕虫和病毒,人们总是不愿见到他们而且希望能将其从计算机上自动删除。针对这类威胁的现有分类系统并不适用于间谍软件和广告软件。这是因为,虽然间谍软件和广告软件此类的安全风险可以视为恶意软件问题的延伸,但他们属于可能不受欢迎的应用程序范畴,因此不符合现有的分类系统。 恶意软件威胁和安全风险程序有着重要区别,鉴于此,赛门铁克设计了一个风险分类系统,用于评定广告软件和相关的应用程序,帮助用户作出明智的选择,知道应该在计算机上保留什么内容,删除什么内容(请参见图 1)。 这种风险计算系统将应用程序的整体影响划分为四个不同类别,指定应用程序的风险级别(“高”、“中”或“低”),并就进一步采取的措施提出了建议。 此风险类别系统中使用了四个类别,分别是性能影响、隐私影响、易于删除性和隐蔽性。下文中将详细介绍这些类别与风险评级系统。
性能影响
对用户和管理员来说,最麻烦的事情莫过于间谍软件和广告软件程序使系统或网络性能发生意外。 系统崩溃、互联网连接中断以及 Web 浏览器行为异常都属于“性能影响”这一类别,该类别用来衡量安全风险程序对系统稳定性、速度和性能产生的影响。 在此类别中的程序分值较高,排除故障花费的时间越长、IT 技术支持收到的求助电话越多,同时可能会发生令人焦急的工作中断。 针对性能影响,以下列举一些应用程序表现症状谨供参考:
| 评定 | 基本描述 |
|---|---|
| 高 | 对系统稳定性和/或系统的重大影响 |
| 中 | 频繁弹出窗口、主页替换、重定向页面和搜索结果 |
| 低 | 对系统性能的影响最小 |
隐私影响
虽然用户通常看不到间谍软件,但其对用户和企业隐私的侵犯问题十分令人担心(广告软件也有此行为,但较不常见)。 安全风险应用程序的隐私影响指的是广告软件捕获用户行为信息并供第三方(即拥有间谍软件或广告软件的公司)使用的程度。 从基本的 Web 浏览行为,到用于身份窃取或从受害者的银行帐户进行未授权转帐的敏感性数据(如用户名和密码),都是广告软件捕获的信息。用户信息一旦遭到捕获,通常就会通过互联网传送回第三方,也可能通过其他方式发送出去或存储在本地。 针对隐私影响,以下列举一些应用程序表现症状谨供参考:
| 评定 | 基本描述 |
|---|---|
| 高 | 发布机密、敏感性信息,如金融机构帐号和密码、其他帐号和密码、信用卡和社保号或其他国际性隐私信息 |
| 中 | 跟踪 Web 浏览和其他类似用户行为,缺乏隐私政策(比如在最终用户许可协议中),既有行为违背隐私政策 |
| 低 | 隐私影响不存在或最小 |
注意:如果通过最终用户许可协议告知用户捕获了哪些信息以及这些信息的用途,那么,与未提供这类协议的应用程序相比,此类程序的风险可能较低,但是,赛门铁克仍将具有此类泄漏信息行为的程序视为间谍软件。 间谍软件重要的一个方面就是考虑到了用户希望知道软件的用途;而通常,最终用户许可协议很难让我们了解到这样的信息,因为最终用户许可协议一般篇幅较长,显示在一个小窗口中,采用大多数人难以理解的法律语言进行编写。
易于删除性
间谍软件和广告软件程序通常难以删除,目的是为了延长它们在系统上的驻留时间。 赛门铁克对易于删除性的衡量,是依据从系统中删除不受欢迎的应用程序的难易程度。 此类别中,既包括使用供应商提供的卸载程序可以轻松删除的应用程序,也有深深嵌入计算机中并拒绝删除的间谍软件和广告软件应用程序。 针对性能影响,以下列举一些应用程序表现症状谨供参考:
| 评定 | 基本描述 |
|---|---|
| 高 | 设法避免卸载、卸载无效或不完整 |
| 中 | 缺乏卸载或自导卸载说明 |
| 低 | 安全风险程序可以使用标准卸载功能有效删除,使其不在计算机上运行或使残留达到最小或无残留 |
隐蔽性
间谍软件和一些广告软件的共有特征是隐蔽性:程序可能会在用户毫不知情的情况下企图自我安装,然后隐藏起来以逃避检测和删除。 这种让用户想不到、似乎又看不见的隐蔽特质,使间谍软件可以保留在计算机上,执行不为用户所知的活动,例如跟踪用户行为和弹出广告等。 隐蔽行为可以是“悄悄”或让人注意不到的安装并暗中进行一些操作,也可以是通知用户安装并公然显示在计算机上的程序,例如用户可以看到程序的图标/流程/等,而且用户明白该程序如何安装到了计算机上。
针对性能影响,以下列举一些应用程序表现症状谨供参考:
| 评定 | 基本描述 |
|---|---|
| 高 | 大多数或全部表现为隐蔽行为,如静默安装、无用户界面和隐藏应用程序进程 |
| 中 | 部分(并非全部)表现为隐蔽行为,如静默安装、无用户界面和隐藏应用程序进程 |
| 低 | 正常安装和应用程序行为 |
下面举例说明了如何使用赛门铁克安全风险评估确定广告软件程序可能对用户计算机产生的影响。
| 类别 | 行为 | 得分 |
|---|---|---|
| 性能 | 频繁弹出广告并占用大量系统资源 | 高 |
| 隐私 | 跟踪 Web 冲浪行为,将用户要访问的网站信息发送回广告软件供应商以供分析和提交目标广告(如弹出广告) | 中 |
| 删除 | 程序不包括卸载功能,阻止用户手动删除 | 高 |
| 隐蔽性 | 程序以静默方式在用户的 Web 浏览器中安装,而不发出通知或提供 EULA;其进程显示在 Windows 任务管理器中 | 高 |
整体评定:高风险
建议采取的措施:自动删除
通过使用整体风险评分和评级系统,赛门铁克的 LiveUpdate 可以确保客户获得最新的防护解决方案,以防间谍软件和其他安全风险程序的攻击。
赛门铁克在安全领域一直处于领导地位,我们独特的定位足以应对间谍软件和广告软件的挑战。 在赛门铁克反间谍软件功能的核心,是赛门铁克全球情报网络,它是全球领先的可伸缩安全基础架构,此网络中安装了 1.2 亿多个台式机、服务器和网关防病毒软件,使用户可以捕获间谍软件和广告软件,并提交到赛门铁克安全响应中心以供分析。 这个网络规模庞大,遍及全球,赋予赛门铁克强大的洞察力,有效应对间谍软件和广告软件问题,从而使我们可以大幅提升全球企业和最终用户的自我保护能力。
赛门铁克安全响应中心分布于北美、亚洲、澳大利亚和欧洲。这些中心拥有业界最受瞩目的安全专家,可为客户随时出现的重要安全事件提供 24x7 全天候的支持服务。 赛门铁克安全响应中心可以处理各种各样的威胁和安全风险,从而使赛门铁克走在间谍软件研究的最前沿。 例如,赛门铁克反间谍软件研究人员掌握的信息和专业知识不仅来自于所在的团队,而且来自赛门铁克反垃圾邮件专家,这些专家监控和分析用于提供间谍软件程序安装程序的未经请求的电子邮件。 同样,赛门铁克入侵研究专家还对各种入侵方式进行分析,例如将 Web 浏览器漏洞利用与间谍软件结合使用,可以“静默”或“驱动”方式秘密安装应用程序。
间谍软件和广告软件日益复杂,有些程序通过佯装传统病毒的行为来逃避检测,如更改形状和行为或潜入系统内部。 赛门铁克拥有消除恶意软件的知名专家,以及由高级防病毒研究人员组成的优秀团队,这是我们对这些安全威胁防患于未然的强势所在。
赛门铁克的反间谍软件方法、全球情报网络和处理类似于间谍软件这样的安全问题所拥有的成熟专业知识,为我们的客户提供了全面的解决方案,使其全面掌控自己的系统和网络。 最后,借助这些解决方案和措施,用户和企业可就是否保留或删除不必要的软件作出明智的决策,从而提升工作效率和隐私保护性。
面对层出不穷的安全风险(如间谍软件和广告软件),我们的最佳防御措施就是,公司与组织并肩协作。 赛门铁克致力于与行业组织、立法机构、执法机构和其他组织密切协作,共同应对间谍软件给全球用户和企业带来的巨大挑战和风险。
有关间谍软件和广告软件的详细信息,可以通过在 ses.symantec.com/antispyware 上注册,免费获取赛门铁克“间谍软件和广告软件风险评估”白皮书。
