計世獨家：間諜軟件常見類型和感染方式分析

申請免費試用、咨詢電話：400-8352-114

計世獨家：間諜軟件常見類型和感染方式分析1

1 前言

網(wǎng)絡(luò)安全專家們一直在討論間諜軟件的含義。微軟把間諜軟件定義為在用戶不知情的情況下，能夠完成廣告顯示，收集個人信息，或者能夠修改計算機設(shè)置等功能的軟件。嚴格意義上，能夠幫助收集（跟蹤、記錄或報告）個人或企業(yè)信息的軟件都可以稱為間諜軟件。

間諜軟件是繼病毒和蠕蟲之后，對網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)安全造成最大影響的因素。據(jù)IDC調(diào)查數(shù)據(jù)，網(wǎng)絡(luò)上67%-90%的計算機，都曾受到過間諜軟件的影響。例如，廣告軟件，最典型的間諜軟件，偷偷占用帶寬和計算機資源，并且暴露了企業(yè)的負債情況、安全風(fēng)險等信息，甚至危害到日常生產(chǎn)。根據(jù)Network World雜志報道，在一個1000個員工規(guī)模的企業(yè)中，每年由于間諜軟件造成的損失約為87000美元。

由于其不斷增長的可疑性，間諜軟件越來越引起人們的關(guān)注。無論是在學(xué)校，辦公室，還是在家中，上網(wǎng)沖浪變得越來越危險，經(jīng)常會受到彈出式廣告的騷擾。接著，這些彈出式廣告可能會安裝間諜軟件，可以監(jiān)控你的瀏覽習(xí)慣，應(yīng)用程序使用情況，以及捕獲輸入的數(shù)據(jù)。間諜軟件通常含有可疑代碼，能夠暗中收集你的計算機或者局域網(wǎng)的信息。這些可疑軟件可能會導(dǎo)致計算機崩潰，病毒感染和信息泄漏。

許多隱藏在自由下載軟件后面的軟件，聲稱能夠提供新的互聯(lián)網(wǎng)服務(wù)功能，來引誘你使用。然而，一旦你安裝之后，間諜軟件往往起到相反的效果，每次按下鼠標，鍵盤，或者訪問網(wǎng)站，都會報告給遠程服務(wù)器。微軟估計，約有一半以上的Windows操作系統(tǒng)曾經(jīng)因間諜軟件而造成系統(tǒng)崩潰。

2 間諜軟件的類型

間諜軟件包含了不同類型，滲透網(wǎng)絡(luò)，以搜索系統(tǒng)信息，包括敏感用戶數(shù)據(jù)、瀏覽習(xí)慣，以及應(yīng)用程序使用情況。這些類型包括了瀏覽器綁架軟件、IE工具欄中的應(yīng)用程序、彈出式廣告、winsock綁架軟件、中間人代理軟件、廣告服務(wù)cookies等。

2.1 瀏覽器綁架軟件

瀏覽器綁架軟件，是一種可疑程序，一旦安裝在用戶的Web瀏覽器上之后，就會修改其默認主頁，搜索頁面和出錯頁面等。瀏覽器重定向，會造成網(wǎng)絡(luò)流量膨脹。這種類型的綁架軟件能夠修改瀏覽器的任意設(shè)置，比如在IE中增加個書簽。

最新的綁架軟件，利用了NTFS僅有的多種數(shù)量的備用數(shù)據(jù)流技術(shù)，這樣可執(zhí)行程序、文本文件乃至目錄文件都可能染毒。目前只有少數(shù)的反間諜軟件能夠檢測出基于該技術(shù)的間諜軟件。

2.2 IE工具欄

有些間諜軟件安裝后，通過IE插件或者瀏覽器輔助對象（BHO，Browser helper objects），結(jié)合在IE中，會顯示在IE的工具欄、搜索欄或者任務(wù)按鈕上。BHO能夠共享 IE 的存儲器，可在可利用的窗口和模塊上執(zhí)行任何活動。BHO 可檢測事件，創(chuàng)建窗口，在瀏覽頁面上顯示附加信息，監(jiān)控信息和活動。

2.3 彈出式廣告

另外一種常見的間諜軟件滲透類型，就是彈出式廣告。在彈出式廣告中，也可能含有間諜軟件。廣告軟件的功能是顯示廣告信息，當用戶上網(wǎng)瀏覽，到某個站點或者是在搜索引擎中輸入特定關(guān)鍵字的時候，就可能觸發(fā)這些廣告軟件，

許多P2P軟件也經(jīng)常內(nèi)嵌著間諜軟件。比如，免費版本的Kazaa就包含著GAIN（Gator），Cydoor和MyWay等間諜軟件。

2.4 winsock綁架軟件

分層的服務(wù)供應(yīng)者（LSP），位于計算機winsock層之間，能夠修改所有流經(jīng)系統(tǒng)的數(shù)據(jù)。微軟的操作系統(tǒng)中，默認安裝了很多有用的LSP。隱藏在這一層的間諜軟件，稱為winsock綁架軟件。這些間諜程序監(jiān)控著網(wǎng)絡(luò)，能夠訪問流經(jīng)桌面的所有的數(shù)據(jù)，能夠?qū)eb請求定向到關(guān)聯(lián)的網(wǎng)站。任何試圖刪除這些winsock綁架軟件的操作，都會導(dǎo)致LSP鏈斷開，從而致使網(wǎng)絡(luò)連接無法正常工作。不同類型的CoolWebSearch間諜軟件，都屬于winsock綁架者類型，必須用特定的軟件查能刪除。

2.5 中間人代理服務(wù)軟件

有一種很危險的間諜軟件，專門偽裝著能夠加速用戶Internet訪問速度。這種間諜軟件，對所有的上網(wǎng)行為，包括安全連接，都會重定向到中間人代理軟件。這種軟件能夠偷偷獲取敏感信息，比如密碼、信用卡卡號、銀行賬號、以及信用卡信息等。

2.6 廣告服務(wù)cookies或者間諜軟件cookies

Web應(yīng)用程序通常用cookies來保存些狀態(tài)值。網(wǎng)站利用cookies來記載計算機或瀏覽器之前是否有訪問記錄。在電子商務(wù)應(yīng)用程序中，通常采用會話級的cookies來記錄購物車中所選擇商品的名稱及數(shù)量。

相反的是，廣告服務(wù)cookies，或者是間諜軟件cookies，會通過多個站點來跟蹤用戶訪問站點的歷史記錄。這些站點是廣告網(wǎng)絡(luò)的組成部分，通過收集用戶瀏覽習(xí)慣，分析出用戶的大體情況。如DoubleClick、LinkShare和Commission Junction等公司，就是利用廣告服務(wù)cookies收集用戶信息，包括IP地址，瀏覽器類型、操作系統(tǒng)類型、域名、服務(wù)供應(yīng)商（SP）以及本地時區(qū)等，然后利用功能強大的數(shù)據(jù)挖掘和Web分析工具，發(fā)掘市場先機。這些cookies同時也會將表單中的個人信息傳送給指定的廣告商，進而也可能賣給其他對這些信息感興趣的團體。

另外一類間諜軟件cookies，是透明的gif圖片，人們稱之為Web燈塔或Web Bugs。這些小小的透明的圖片文件有個唯一的ID，這一點與cookies功能類似。這些圖片用于跟蹤Web用戶的在線移動軌跡，他們會與計算機中的cookies進行交互，如果發(fā)現(xiàn)存在兩個相同ID的圖片的話，則發(fā)送收集到的信息到廣告公司。廣告利用cookies（設(shè)置或讀取透明的gifs）來實現(xiàn)廣告報告的功能，檢測哪些廣告會吸引用戶到他們站點來購買或注冊產(chǎn)品。這些信息，能夠幫助廣告商們收集有關(guān)現(xiàn)有客戶和潛在客戶的市場信息。除了侵犯隱私外，這樣的活動還增加了企業(yè)中的網(wǎng)絡(luò)負載，占用了帶寬。

3 間諜軟件的感染方式

間諜軟件通過多種方式感染網(wǎng)絡(luò)系統(tǒng)，這些方式包括“隨看隨下”方式、免費下載方式、與P2P軟件綁定方式、社會工程以及利用IE安全漏洞等。