灰色软件专题测试
扫荡灰色软件
共享软件中捆绑的强制安装软件算是恶意软件吗?网页上频繁的弹出窗口呢?灰色软件、恶意软件、间谍软件、流氓软件之间是什么关系?它们到底会给我们带来什么样的损失和伤害?CHIP将和你一起,正确认识灰色软件、并帮你解决灰色软件带给你的烦恼。
细数2005年到目前为止具有影响力的互联网事件,“流氓软件”这个词汇所引起的关注无疑是所有事件当中热度最高的一个。暂且不谈流氓软件事件的起因始末,也不论这一系列风潮中的是非对错,最严峻的问题仍然摆在人们面前,那就是软件用户的权益如何保障。无法解答这个问题其它一切言行皆显苍白无力。CHIP在这里尝试提供一些内容,希望可以帮助用户更好地认识恶意软件的情势,从而协助大家应对恶意软件所带来的侵扰。
定义灰色软件
相比于“流氓软件”这样的名词,CHIP更愿意用“灰色软件”这个词汇。排除那些功能正常的软件,也排除那些以破坏目标系统为目的的、以计算机病毒为主要形态的恶意软件,我们将那些不一定具有显式的破坏作用、但是对计算机具有潜在威胁并对用户造成干扰的软件称之为灰色软件。广义来说,灰色软件就是介于计算机病毒和非计算机病毒之间的一个中间地带的软件。
寻本求源,由于早年的一些误解,导致目前很多媒体和消费群体习惯于将在计算机网络环境中实施破坏行为的人称之为“黑客”。然而很多具有技术背景或行业背景的人仍然坚持将这样的人称之为“骇客”――这个词保留了对黑客这一原本象征着奉献、创新和高超技能人群的尊重。为了应对这种混乱的局面,人们为黑客这一名词加上了一些修饰,用以区分不同黑客人群的行为。那些纯粹以攻击破坏行为达到目的的群体被称之为“黑帽黑客”,而潜心于技术创新和为技术领域奉献力量的群体被称之为“白帽黑客”,行为界于两个阵营之间无法被明确划分的群体则被称之为“灰帽黑客”。沿着这种认知,灰色软件这一词汇正越来越多地受到消费群体的认同,包括趋势科技在内的很多重要安全产品厂商也使用这个名词来界定徘徊于病毒和正常软件之间的那些无法被明确划分阵营的软件。也许这种分类方法仍然不够明确,但是它至少提供了一个足够成熟的基准供我们对这一问题进行认知和讨论,CHIP对于灰色软件一词的认同也基于此。
灰色软件泛滥成灾
仅仅在几年前,我们还可以使用恶意软件和非恶意软件这样的划分方法来对软件的性质进行界定。然而在今天,随着互联网及相关应用的爆炸性增长,这种方法已经不再适用了。早期危害用户的恶意软件主要是计算机病毒,但是随着网络基础设施和软件应用的不断发展,恶意软件的形态也在不断变化。距此之前的几年中,网络蠕虫成为了对网络用户的最主要威胁。这种恶意程序的形态虽然与传统的病毒程序有着极大的不同,但是仍然保持了计算机病毒的一些基本特征,即繁殖能力和破坏能力。网络蠕虫病毒与早期计算机病毒的最主要区别在于其传播方式。
在整个安全行业和全球的互联网用户对互联网病毒的应对能力刚刚有所成长的时候,另一波安全威胁浪潮已经近在咫尺,这就是灰色软件。现今的恶意软件越来越善于伪装自己,而且越来越深地潜入到正常软件阵营的内部,这些新兴的威胁也许代表了未来很多年中恶意软件的一种发展方向。
由于网络经济带来的巨大利益,违反用户权益的行为在快速滋生。即使是很多在互联网浪潮中快速成长起来并广受用户欢迎的企业,也由于严酷的竞争而抛弃了“软件是为了用户而存在”的崇高理念,而以纯粹的牟利为目的的网络罪犯更是无孔不入。曾经洁净甘甜的网络清潭正日益变得混浊,网络用户想在日益恶劣的环境中生存,就需要不断进化。诚如一句名言所讲:知者无畏。除了声讨不法行为之外,我们更要积极地对这些安全威胁进行学习和剖析,提高防范能力。
灰色软件的分类
为了更好地认识灰色软件,我们将按照分类来描述不同类型的灰色软件。由于可以从很多角度审视一个灰色软件,另外由于大部分灰色软件都具有多种混合特质,所以我们很难从单一角度对所有的灰色软件进行划分,只能尽量根据主要特性划分出一些灰色软件的分类,需要的情况下我们会做一些附加的说明和举例。
间谍软件
之所以将间谍软件划归到灰色软件范畴而不将其与病毒等同视之,原因在于间谍软件的“间谍性质”在多种灰色软件当中都能看到,而且间谍软件也并不符合传统计算机病毒的定义。如果非要对间谍软件做一个界定的话,间谍软件是指那些在用户不知情的情况下秘密窃取信息或对系统进行非授权访问的软件。其实大部分流行的灰色软件都带有一些间谍软件的特性,所以我们将间谍软件单独列出进行评述。
最早的间谍程序通常都捆绑在正常的软件系统当中,厂商希望通过这些秘密的小程序了解用户的习惯和并收集有用的信息。这既是现代企业对用户信息的重视,又是对用户隐私的一种践踏。现在的间谍软已经越来越多地将盗窃信息和破坏做为主要目标。与此同时,间谍软件这种秘密地进行一些不被用户许可的行为的特性也逐渐融入到了所有的恶意软件当中。
密码窃取程序
随着越来越多的社会经济活动以及人们的生活行为透过网络来完成,黑客群体已经不仅仅将目光局限在盗窃计算机系统账号上了,盗窃用户计算机中的各种金融和服务账户信息成为了新的焦点。为了获得信用卡信息、银行账号、付费服务登录账号这些直接可以兑换经济利益的信息,黑客们无所不用其极,开发出大量的恶意软件用以从用户的系统中获取这些信息。密码窃取程序可能通过多种途径进入用户的计算机。以一些盗取银行账号信息的恶意程序为例,如果用户所使用的系统具有某些特定的漏洞或缺陷,在浏览一些网站时密码窃取程序就会悄声无息地在用户的计算机上开始运行。一旦用户在计算机上使用或存储了银行账号信息,窃取程序就会将这些信息抽取出来,发送到电子邮件等盗窃者指定的位置,很多这种银行密码窃取程序可以监听和探测数十种银行账号。除了银行账号等金融信息之外,包括一些互联网服务、聊天工具的密码也都有出现了专门的窃取工具。更为重要的是,黑客在盗取到这些信息之后,现在已经有庞大而成熟的渠道对这些信息进行接手、处理、出售、变现等活动。这说明密码窃取程序已经不再是安全玩家手中的玩具,而成为了彻头彻尾的犯罪工具。
击键记录程序
这也是一种很典型的间谍程序,它潜伏在用户的计算机内将用户敲击键盘的动作记录下来并发回给黑客。早期的击键记录程序记录用户的所有键盘操作,在接收到记录之后,黑客必须手动在记录中寻找有用的信息。而现在的击键记录程序通常都有很强的目的性――只对特定的应用程序或窗口截取有用的信息。举例来说,监听Windows登录密码的程序会特别留意Ctrl+Alt+Del这样的组合键,因为这个组合键之后跟随的输入信息的很可能就是用户名和密码。现在流行着大量针对电子邮件、即时通讯等软件系统的击键记录程序,专门用于截取登录信息,这些程序可以识别到这些软件系统的登录操作,从而获取账号信息。其实大部分密码窃取程序都内含了记录键盘动作的功能,这种窃取方式很多灰色软件都在使用,甚至还有一些程序可以截取用户屏幕图像。
远程控制工具
这种恶意程序的概念相对比较模糊,有点类似BOT(控制傀儡主机的蠕虫或木马程序)。与BOT不同的是,一些远程控制程序的控制范围更加宽泛,它们能够用被控主机进行更多的工作,包括获取指定信息。虽然这类程序通常不会对目标计算机造成破坏,甚至用户根本不会感觉到有影响,但是被植入了远程控制程序的计算机将会暴露一些本不该暴露的安全隐患,一些远程控制工具可能会在系统中留下后门或开启一些通信端口。并且在控制端操纵这些计算机进行破坏活动时,受控计算机的计算能力和网络带宽都要受到极大的消耗。
广告程序
除了要面对那些对系统造成破坏和影响乃至造成经济损失的恶意软件之外,现在的用户越来越无法忍受带有骚扰性质的信息内容了。垃圾广告等垃圾信息问题已经成为危害互联网发展的重大阻碍。而且目前一些广告程序不但强制或诱导用户观看不希望观看的信息,还开始内置一些窃取用户信息的功能。对于隐私日益被重视的现代社会来说,即使是用户的一些操作习惯和经常访问的网址信息都体现了用户的权益,不经用户允许就收集这些信息甚至收集账号等敏感信息无疑是一种恶意行为。
拨号器
这是一种通过电话拨号来获取服务的小程序,正常的拨号器是由服务商向用户提供以访问他们所提供服务的程序。然而,由于越来越多的互联网服务商开发出了各种通过计算机可获取的服务项目,而包括色情服务在内的很多服务又需要通过话费很高的接入号码进行接入,所以众多的拨号服务就成了恶意拨号器的温床。恶意软件的设计者们开发出了一些具有非法用途的拨号器,这些恶意拨号程序被嵌入到网页、电子邮件等用户可能浏览的位置,感染的计算机将在用户毫无察觉的情况下拨入到一些付费服务号码。这类程序相当流行,为了更好地获得拨号控制权,它们甚至可以秘密地替代正常的互联网拨号。
拨号器的危害性较大,能够给用户带来高额的经济损失,但是由于各国电信基础设施结构的不同,所以没有造成大面积的侵害。
即时通讯相关
即时通讯工具如此的流行,导致有越来越多的非法工具瞄准了这一领域。在国内流行的一些主要的即时通讯工具已经都发现了有针对性的威胁。目前对即时通讯的主要威胁包括垃圾信息发布、账号窃取等等。窃取即时通讯工具的账号信息自从这种应用受到消费者欢迎开始就一直没有停止过,但是由于一些专门窃听和破解即时通讯账号的程序出现,这一问题已经到达了空前严重的程度。而垃圾信息发布则更加让用户切身体会到即时通讯领域的安全威胁。很多恶意程序通过即时通讯工具向使用者发送不受欢迎的垃圾信息,而且这类程序往往带有传染性。还有一些人通过即时通讯工具手动发送非法信息,甚至开发出自动化的机器人程序与聊天用户进行交互,从而传达自己想传达的信息。即时通讯用户的巨大数量以及这个用户群体中所形成的一种信任机制,都为这些恶意行为提供了疯狂蔓延的肥沃土壤。
BHO
插件
BHO
是Browser Helper Object(浏览器辅助对象)的缩写。当IE等网络浏览器软件启动时会自动加载BHO类型的小插件以执行一些功能。一般来说,这些BHO插件会包含在一些正常的软件程序当中,例如下载程序、翻译程序、浏览器管理工具等等。然而,并不是所有的BHO插件都以提供正常功能为目的,也有一些BHO插件在用户的计算机上实施非授权行为。由于浏览器程序是最主要的网络应用程序之一,所以大量的非法软件通过BHO插件的形式堂而皇之地入驻到浏览器程序当中,进而获取用户计算机中的各种信息或霸占用户的资源。由于BHO属于浏览器软件的内建机制,所以通过BHO机制发生作用的恶意行为往往具有很强的伪装性,并能对用户造成很大的困扰。除了BHO之外,一些基于ActiveX和Java等技术的插件也可能具有恶意目的,用户在使用浏览器插件的时候应该格外注意。
浏览器劫持
无论对软件厂商还是恶意攻击者来说,对浏览器进行控制都可以获得相当的利益。以地址栏绑定为例,在网络浏览器的地址栏中嵌入软件以提供增值功能是目前相当流行的做法。这类插件的机制是:当用户在浏览器软件的地址栏中输入了无法被正常解析的内容时,这些插件就会对这些内容进行解析并在浏览器中显示相应的内容。而一旦恶意程序取得了浏览器的地址栏接口,用户在地址栏中输入的信息就将曝露给恶意用户,而攻击者也可以以此为起点对用户的计算机进行控制。地址栏绑定还只是众多浏览器劫持行为中的一种而已,其它的浏览器劫持还包括将链接重定向到恶意网页、更改浏览器的主页地址、自动将网址加入到用户收藏夹、锁定某些浏览器选项、打开广告页面等等。
工具栏程序
现在,在网络浏览器的工具栏上安装程序已经成为发布网络应用程序的重要方式之一,大部分知名的互联网企业都都发布了这种浏览器插件,浏览器小小的工具栏成为了互联网企业的主战场。特别是当搜索引擎跃升成为顶级网络应用后,Google、雅虎、微软等希望在搜索引擎领域占据统治地位的厂商纷纷推出了自己的搜索工具栏程序。不仅如此,这些互联网巨头还将越来越多的服务都集成到了工具栏程序中,其它类型的工具栏应用更是不胜枚举。为了更大限度地吸引用户,一些工具栏程序在用户交互方面采取了一些带有强制性或者限制性的手段,另外有些工具栏程序还会排斥其它的同类程序。除此之外,现在的工具栏程序绑定的包括弹出宣传窗口之类的附加功能越来越多,而且越来越多地对系统文件进行修改和控制。这些以竞争为目的的措施会对用户的正常工作造成影响,甚至产生系统问题。
玩笑程序
最早的玩笑程序运行之后会中止当前用户的操作,并弹出一条消息(比如“给我一块甜点”),后来又出现了在用户屏幕上捣乱的玩笑程序。而在今天,玩笑的程序花样繁多,有的充满创意,有的令人恼怒,有的则会对用户的计算机系统产生真正的干扰。通常玩笑程序不具备病毒的繁殖和传播能力,而只是对执行了玩笑程序的系统产生作用。尽管纯粹意义上的玩笑程序并不具备破坏力,但是这类程序给计算机用户造成的困扰仍然不能忽视。玩笑程序主要作用于用户的心理,例如提醒用户的重要资料被清除了,从而让用户变得很紧张。对一些带有偏执色彩的程序作者来说,他们会尽可能地戏耍和侮辱执行这些程序的用户,而只是为了证明自己的创意(比如要求你点击某个对话框100次,否则就不能将它正常关闭掉)。从心理影响和干扰的角度来看,一些判断力相对较差的用户以及那些情绪比较容易波动的用户更容易被这类程序侵害,而且对于类似资料被清除这样的提示来说,计算机技能较差的用户可能会变得手足无措,甚至自行做出一些玩笑程序所不具备的破坏行为。
骚扰程序
有一些软件程序在设计的时候没有充分考虑到用户的权益和感受,从而形成了对用户的一些困扰,CHIP将具有这类特性的程序称之为骚扰程序。这些程序往往具备一些强制特性,例如强行弹出信息窗口、强行霸占系统造成不能对程序进行卸载、在没有得到用户授权的情况下进行秘密安装等等。现在很多网站都会在用户浏览时要求安装一些插件程序,而这些插件程序与使用该网站并无关联,尽管我们无法明确断言这种程序推广方式应该被划归到恶意行为当中,但是有相当一部分用户都对这种行为深恶痛绝。引起中国互联网界广泛关注的流氓软件,其实大部分都带有这类不符合用户权益的行径。这类软件虽然并不应该象对待计算机病毒一样见则杀之,但是一款软件要是希望常驻用户硬盘使用户不离不弃,从设计和开发上下功夫才是正途,而不应该以蛮横、霸道的方式来达到目的。
黑客工具
这一类程序主要为黑客所使用,对于正在被攻击者使用的工具程序来说,它们无疑是彻头彻尾的恶意软件。这些工具程序也可能会被藏匿在不知情用户的计算机中,尽管没有对这台计算机造成危害,但是却对整个网络环境有着潜在的威胁。除此之外,很多黑客所使用的工具程序同样也广泛地出现在网络管理员的工具箱中,所以有相当一部分黑客工具具有典型的灰色软件的性质:无法被明确地划归阵营。
解剖典型灰色软件
下面,我们就以典型的广告程序Gator为例,来深入剖析灰色软件是如何进驻计算机、如何干扰用户正常工作的,以便让你对灰色软件有一个感性认识。
Gator
程序由Gator.com公司发布,通常需要用户手动安装,它主要的功能是帮助用户在网上快速提交表单信息。用户先将自己的地址、电话、信用卡号码等信息在该软件中进行维护,以后每次用户在网上执行登录操作时,Gator都会弹出提示窗口供用户保存账号信息,之后再登录这些网站时Gator就会协助用户快速地提交这些信息。
从应用上来讲,Gator的功能还是相当方便的,但是在执行填表这项工作的同时,它还会在暗地里进行一些其它工作。首先,它会在用户浏览网站的时候自动弹出一些Gator的广告窗口,而这些广告窗口的内容是根据平时所收集的用户的浏览习惯来确定的。这些从用户计算机收集的信息通过本地计算机的80端口被提交给gator.com为后缀的一些地址。另外,某些版本的Gator程序还会带有竞争性的广告显示功能,例如在用户浏览一些网站的时候,Gator会在这些网站上显示其竞争对手的广告信息。
除了上述问题之外,Gator会夹带在其它软件中被安装到用户的计算机当中,这样就会造成在未经用户授权的情况下执行该软件。目前大部分反病毒厂商都已经将该程序做为广告程序处理,用户也可以在控制面板中手动卸载该软件。在Gator的支持程序GAIN当中,我们可以查看到哪些组件是用来支持Gator的,删除对应的全部组件才可以彻底将Gator从计算机中移除。
总的来说,Gator并没有对用户的计算机造成特别严重的危害,也能够较顺利地从计算机中清除。但是,由于Gator执行了一些危害和骚扰用户的行为,所以Gator可以算是灰色软件的一种典型:既提供对用户有益的功能,又执行一些损害用户权益的活动。
如何应对灰色软件
上面我们描述了灰色软件范畴内的很多个分类,大家对灰色软件应该有了进一步认识,但是如何防止这些侵害呢?
正确的用户习惯
在面对灰色软件威胁的时候,首先应该保证的一点就是养成良好的操作习惯。绝大部分灰色软件必须在目标计算机上被执行才能产生作用,而这往往是通过诱骗等社交工程手段完成的。例如,灰色软件可能会通过电子邮件发送给用户,而这些电子邮件的标题往往反映了当时一些惹人注意的事件,当用户点击这些标题浏览电子邮件的时候,灰色软件就会悄声无息地进入到用户的计算机中。
当前的互联网环境可谓陷阱重重,在每一次鼠标点击之前,用户的头脑当中都不应该忘记这些危险。对于那些不明来源的电子邮件、可信度不高的链接,在按下鼠标之前都应该三思而后行。有很多用户因为不了解这些潜在威胁,对带有非法内容的广告、聊天好友发来的链接毫不犹豫地进行了点击,却不知很多恶意程序已经传送到了自己的计算机当中。所以说,好的计算机使用习惯是防范灰色软件乃至所有恶意软件的第一道防线。
另外,由于很多灰色软件会捆绑在正常的软件程序当中被安装,所以在安装软件程序的时候一定要注意是否有这种捆绑行为。大部分共享软件在捆绑这些程序的时候都会提供选项可以让用户不安装正常软件之外的捆绑部分――除了那些具有间谍性质的灰色软件。如果完全从用户的利益出发,在正常软件中捆绑程序的时候,应该将是否安装这些程序的默认选择置为“否”,以避免用户误装这些程序,这也是在用户权益最大化情况下的一种考虑。很多侵害了用户权力的软件在其用户许可说明中规定了软件开发商和软件用户之间的责权划分。从法律的角度而言,如果用户接受了这一条款,即使软件的一些行为有触犯用户权益之嫌,但是也属于在用户授权之下的“合法”行为。由于用户很少仔细阅读这些条款,所以现在软件用户许可协议已经成为很多软件厂商逃避责任的一种工具。这就要求用户在安装各种软件前尽可能浏览一下用户许可栏中的内容,以免被一些投机取巧的行为钻了空子。
选择有效的查杀工具
除了用户自身要对灰色软件提高警惕之外,还应该积极地应用防范恶意软件的工具程序以更好地抵御这些威胁。目前应对各种恶意软件的产品数不胜数,很多种类的灰色软件其实都有专门的清理工具存在,例如处理浏览器劫持的各种浏览器保护和管理软件、处理间谍和木马程序的专门工具软件等等。
然而遗憾的是,虽然可以使用的工具很多,但是整体形式仍旧不容乐观。最主要的原因在于针对某种灰色软件的工具只能应对这个种类的威胁,而对其它种类的灰色软件则无法发挥作用。真正有效的灰色软件防范产品应该是能够针对所有种类发挥作用的,这也是为什么大量用户把希望寄托于反病毒软件的原因。
现在很多反病毒厂商已经在反病毒软件中添加了处理灰色软件的功能,只是这些功能还没有完全整合到反病毒引擎当中。之所以如此,是因为对于灰色软件的界定还无法在行业内达成共识,而且不同的用户群体对一个软件是属于正常软件还是灰色软件都有不同的认知,很难达到向对待计算机病毒那样的统一意见,这也就不难理解为什么不同反病毒产品会对同一款灰色软件的处理态度截然不同。也许更理想的状况是在行业内形成一套较为统一的分类标准,这样厂商才能在设计产品的时候有所依托。在此基础上,厂商可以在产品中将查杀范围根据恶意软件的种类进行划分,从而使用户根据自己的应用情况灵活地选择查杀哪些恶意软件以及对哪些恶意软件置之不理。
挑战灰色软件
为了更客观地说明目前反病毒产品在检测灰色软件方面的能力,CHIP组织了一次小规模的灰色软件检测评估。参加此次评估的厂商包括赛门铁克、趋势科技、金山和瑞星。另外,我们还在评估中加入了可以免费获取的开放源代码的反病毒软件ClamWin。ClamWin是著名的开源反病毒软件Clam的Windows版本,大家可以从这个产品的测试结果中获得更多参考信息。我们按照上面描述的灰色软件分类对测试样本进行分拣,虽然很多分类所含样本数量只有寥寥数个,但都是在国内获广泛流行的灰色软件。
需要注意的是,由于每个反病毒厂商对于灰色软件的态度和处理策略都不尽相同,所以读者应该以参考的角度来阅读这些评测信息,而不应该将其做为证明产品能力的依据。
测试环境
硬件环境:P4 2.4GHz CPU、 256M DDR333 内存、80GB硬盘、 1M ADSL Internet连接。
软件环境:Windows 2000专业版SP4(IE6.0)。
参测产品:趋势科技PC-cillin 2005 12.0.1389(引擎版本7.510.1102/病毒码版本2.827.00)、诺顿网络安全特警2005( 11.5.6 .14)、金山毒霸2005 7.0.0 .1840(引擎版本2005.04.05.59/病毒库版本2005.09.09.10)、瑞星杀毒软件2005(17.43.42)。在后面的行文中,为了简单起见,我们将直接以趋势、诺顿、瑞星、金山来称呼上述参测产品。
在测试每种反病毒软件之前,都会从清洁的源介质中恢复被测样本,以保证测试的准确。所有反病毒软件的更新日期都是 2005年 9月 9日 ,更新间隔相差不超过3小时。
在测试数据表格中,按照分类列出了所有产品检查到的灰色软件数量以及检测比率。
|
样本分类
|
数量(个)
|
趋势
|
诺顿
|
金山
|
瑞星
|
ClamWin
|
|
间谍软件
|
162
|
30
|
65
|
54
|
22
|
65
|
|
19%
|
40%
|
33%
|
14%
|
40%
|
||
|
密码窃取程序
|
56
|
26
|
37
|
52
|
48
|
9
|
|
46%
|
66 %
|
93%
|
86%
|
16%
|
||
|
击键记录程序
|
2
|
0
|
1
|
0
|
1
|
0
|
|
0%
|
50%
|
0%
|
50%
|
0%
|
||
|
远程访问工具
|
46
|
43
|
43
|
43
|
35
|
31
|
|
93%
|
93%
|
93%
|
76%
|
67%
|
||
|
广告程序
|
39
|
3
|
16
|
12
|
12
|
14
|
|
8%
|
41%
|
31%
|
31%
|
36%
|
||
|
拨号器
|
3
|
1
|
3
|
2
|
3
|
2
|
|
67%
|
100%
|
67%
|
100%
|
67%
|
||
|
即时通讯相关
|
4
|
2
|
3
|
4
|
4
|
1
|
|
50%
|
75%
|
100%
|
100%
|
25%
|
||
|
玩笑程序
|
4
|
3
|
3
|
3
|
2
|
3
|
|
75%
|
75%
|
75%
|
50%
|
75%
|
||
|
BHO
插件
|
3
|
2
|
2
|
1
|
2
|
1
|
|
66.67%
|
66.67%
|
33%
|
66.67%
|
33%
|
||
|
浏览器劫持
|
4
|
0
|
3
|
0
|
0
|
3
|
|
0%
|
75%
|
0%
|
0%
|
75%
|
||
|
工具栏程序
|
6
|
1
|
2
|
1
|
1
|
1
|
|
17%
|
33%
|
17%
|
17%
|
17%
|
||
|
骚扰程序
|
7
|
0
|
0
|
0
|
0
|
0
|
|
0%
|
0%
|
0%
|
0%
|
0%
|
||
|
黑客工具
|
32
|
18
|
17
|
25
|
25
|
7
|
|
58%
|
53%
|
78%
|
78%
|
22%
|
测试成绩点评
本次间谍软件部分的检测所使用的样本数量是所有分类中最多的,这个部分的检测中没有表现特别突出的产品,即使是取得最高成绩的诺顿的检出率也没有突破50%。值得一提的是ClamWin取得了与诺顿相同的成绩,这说明这款免费产品确实具有一定的检测能力。
密码窃取程序检测部分就是国内厂商的天下了,瑞星和金山的成绩都很突出,这与强化了的本地服务能力是分不开的。在针对各种网络应用软件、网络游戏的账号窃取工具出现之后,瑞星和金山等国内厂商就及时地推出了针对这些威胁的专用清除工具以及集成在反病毒软件中的解决方案。
本次测试用的击键记录部分采用的样本是两个在国内非常流行的击键记录程序,这两个样本是纯粹意义上的击键记录程序,而并不是包含了信息发送功能的间谍程序。在该部分的测试中,诺顿和瑞星各查出一种,趋势和金山没有检测出任何一种。
远程访问工具部分的测试结果比较令人满意,大部分参测软件都获得了极佳的检测结果。由于这个部分的程序与BOT、木马以及蠕虫病毒有很多类似之处,所以相信大部分反病毒厂商都倾向于将其划归为计算机病毒,所以能得到这样的好成绩也是在情理之中。
在广告程序部分的检测中,所有参测产品基本都在同一水平线上,总体来看只能算勉强过关。尽管广告程序通常并不会引起较严重的安全问题,但是以此类软件为代表造成的垃圾信息传播行为已经成为众矢之的。
在我们分拣出的几种常见拨号器程序样本中,只有诺顿能够完全检测出这些程序。这类软件的威胁较大,一旦漏网将可能造成比较严重的损失,所以反病毒厂商和用户切不可对这类程序掉以轻心。
本次即时通讯工具类的灰色软件样本主要与腾讯QQ、微软MSN Messenger相关,因为这是在国内占据较重要地位的两种即时通讯工具,也是受攻击最多的。与密码窃取程序的情况一样,金山和瑞星的表现再次充分说明了本土厂商的优势。
玩笑程序部分的测试成绩比较平均,只有瑞星稍差一点。玩笑程序做为一种具有悠久历史的恶意软件,现在的反病毒厂商已经都将其纳入到自己的处理范围内了,因为它们的划分标准同样难以“一刀切”。
BHO
插件是灰色软件的典型代表之一,通常带有恶意性质的BHO插件也往往具有很多对用户有益的功能,与技术处理相比,更加困难的是界定哪些BHO插件应该被查杀。所以该部分的成绩更多的意义在于参考,从这个方面来说,参测软件的表现都是令人满意的。
浏览器劫持部分的测试结果让人稍感意外,正式参测的产品中只有诺顿能够检测到浏览器劫持程序,我们选用的样本主要是劫持浏览器地址栏的灰色软件。有趣的是,ClamWin第二次取得了和诺顿完全相同的成绩,不知道是巧合还是这两个产品之间有什么内在关联。
工具栏程序通常只在用户授权的情况下才能安装,我们选择的样本大部分属于带有非授权信息显示的工具栏程序,对用户的影响较轻。所以,尽管所有产品的检测成绩都不突出,但是结果也并非不能接受。
骚扰程序部分的样本我们采用的是与这个分类描述相符的一组具有带有有用功能的软件,包括在流氓软件论战中一些被广泛提及的程序。不出所料,所有的参测软件都没有对这些样本进行报警――很显然,在这类程序是否应该由反病毒软件处理的争论尘埃落定之前,反病毒厂商应该不会对这些程序进行处理。
恶意软件部分的测试成绩没有太多可评论之处,目前反病毒厂商对这类工具的策略倾向于检查那些无可非议的攻击工具,而对于那些界定比较模糊的工具则置之不理。
综合来看,诺顿的表现是所有参测产品中最突出的,号称全面防护的赛门铁克看来确实对计算机病毒之外的恶意软件威胁下了一番功夫。不过即使以诺顿的总检出成绩也没有达到令人放心满意的程度。尽管这次检测所使用的样本数量不多,但是由于挑选出的样本都是流行程度较高的,所以这样的成绩还不能让我们乐观,我们希望反病毒厂商能够加大研发力度,为用户提供更加强大的恶意软件防范产品。
本文出自 “离子翼” 博客,转载请与作者联系!