来源:互联网实验室 更新时间:2007-04-01
第一章 流氓软件的概念
1.1 对流氓软件已有的几类不同定义
第一类:中国反流氓软件联盟对流氓软件的定义
流氓软件从技术上讲,恶意广告软件(adware)、间谍软件(spyware)、恶意共享软件(malicious shareware)等等都处在合法商业软件和电脑病毒之间的灰色地带。它们既不属于正规商业软件,也不属于真正的病毒;既有一定的实用价值,也会给用户带来种种干扰,称这种软件为流氓软件。
该定义认为流氓软件流氓行径包括以下四种:
强行侵入用户电脑,无法卸载;
强行弹出广告,借以获取商业利益;
有侵害用户的虚拟财产安全潜在因素;
偷偷收集用户在网上消费时的行为习惯、帐号密码;
特点:定义中以正规商业软件和计算机病毒作为标杆,通过流氓软件与计算机病毒和商业软件特点的对比阐明了流氓软件的特性,没有正面对流氓软件进行定义。
第二类:中国互联网协会对流氓软件的定义
中国互联网协会以行业自律的方式组织30余家互联网从业机构共同研究,起草了“恶意软件”定义,并于11月22日正式对外公布:
恶意软件是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵害用户合法权益的软件,但不包含我国法律法规规定的计算机病毒。
中国互联网协会对恶意软件特征的界定如下:
强制安装:指未明确提示用户或未经用户许可,在用户计算机或其他终端上安装软件的行为。
难以卸载:指未提供通用的卸载方式,或在不受其他软件影响、人为破坏的情况下,卸载后仍然有活动程序的行为。
浏览器劫持:指未经用户许可,修改用户浏览器或其他相关设置,迫使用户访问特定网站或导致用户无法正常上网的行为。
广告弹出:指未明确提示用户或未经用户许可,利用安装在用户计算机或其他终端上的软件弹出广告的行为。
恶意收集用户信息:指未明确提示用户或未经用户许可,恶意收集用户信息的行为。
恶意卸载:指未明确提示用户、未经用户许可,或误导、欺骗用户卸载其他软件的行为。
恶意捆绑:指在软件中捆绑已被认定为流氓软件的行为。
其他侵害用户软件安装、使用和卸载知情权、选择权的恶意行为。
特点:中国互联网协会的定义从软件安装运行角度对流氓软件进行了定义,对流氓软件的特性缺乏全面性概况。
1.2 互联网实验室对流氓软件的定义
通过对流氓软件进行系统性研究,互联网实验室对流氓软件定义如下:
流氓软件,也称恶意软件或不良软件,是指在利益驱动下,降低甚至剥夺用户对软件操作的自主权、控制权,其中包括但不限于:未明确提示用户或者未经用户许可情况下,通过隐蔽手段在用户计算机或其他终端上强行安装运行,且不容易卸载的软件。
第二章 流氓软件的特点
2.1 流氓软件的特点
1. 强制性
指流氓软件在未明确提示用户或未经用户许可,在用户计算机或其他终端上强制安装软件,通过劫持浏览器、弹出广告等手段强制用户访问特定网站或观看广告,剥夺了用户对软件操作的自主权、控制权。
2. 难以卸载
指流氓软件未提供标准的卸载方式或者提供的卸载程序无法有效完成任务,导致普通用户无法正常卸载或者不能完全卸载。
3. 隐蔽性
指流氓软件通过捆绑到共享软件或者嵌入网页,自动安装到用户计算机或者其他终端设备上,安装、运行过程非常隐蔽,普通用户难以察觉。
4. 利益驱动性
指流氓软件以推广网站或者获得收益为目的,在用户计算机弹出广告、收集用户行为信息用于商业活动或盗取用户帐户密码等。
5. 自运行性(自动性)
指流氓软件未明确提示用户或未经用户许可,在用户不知情的情况下,在后台自动运行、下载程序、上传信息或自动升级等。
2.2 计算机病毒的定义和特点
1. 计算机病毒的定义
从广义上定义,凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。依据此定义,诸如逻辑炸弹,蠕虫等均可称为计算机病毒。
1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》,对计算机病毒进行了明确定义,此定义具有法律性、权威性。
计算机病毒是指编制者在计算机程序中插入的破坏计算机功能,或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
2. 计算机病毒的特点
(1) 传染性:指计算机病毒在一定条件下可以自我复制,能对其它文件或系 统进行一系列非法操作,并使之成为一个新的传染源。
(2) 破坏性: 指病毒在触发条件满足时,立即对计算机系统的文件、资源等运行进行干扰破坏。
(3) 隐蔽性:指病毒的存在、传染和对数据的破坏过程不易被发现;
(4) 触发性:指病毒的发作一般都需要一个激发条件,可以是日期、时间、特定程序的运行或程序的运行次数等等,如臭名昭著的CIH病毒就发作于每个月的26日。
(5) 寄生性:指计算机病毒通常是依附于其它文件而存在的特性。
(6) 潜伏性: 指传染合法的程序和系统后,不立即发作,而是悄悄的隐藏起来,在满足其特定条件时才启动其表现(破坏)模块。
(7) 变异性:指在发展、演化过程中可以产生变种。有些病毒能够产生几十种甚至上百种变种。
(8) 不可预见性:指病毒相对于防毒软件永远是超前的,理论上讲,没有任何杀毒软件能将所有的病毒杀除。
2.3 流氓软件与计算机病毒的区分
网民起诉、政府监管、行业自律、媒体曝光等措施,使流氓软件的生存陷入困境,流氓软件提供者为了生存,在流氓软件的编写和传播上开始使用病毒技术。
为了给流氓软件的治理对策提供参考依据,需要将病毒和流氓软件在传播、和破坏性等方面进行比较,对二者进行区别。互联网实验室在对流氓软件和病毒深入了解后,对流氓软件和病毒进行了详细的区分。
1. 根据目的性不同区分
流氓软件的目的性分析
在利益的驱动下,流氓软件对用户进行侵扰。研究发现,用户受到恶意行为中分为两种类型,一类是在商业利益的驱使下,强行向用户推送广告或者收集用户行为信息用于其他商业行为。另一类是在直接经济利益的驱动下,盗取用户账号、密码,以达到用户的经济财产为目的。
计算机病毒的目的性分析
计算机病毒对用户的侵扰则以恶作剧、炫耀、报复、政治军事等为目的,破坏或销毁对方的计算机系统或者程序。
2. 根据造成破坏度区分
图表2. 流氓软件和计算机病毒的破坏度对比
流氓软件的破坏度分析
互联网实验室通过数据分析发现:影响用户的流氓软件类型中广告软件占40.73%,行为记录软件占7.67 % 、劫持浏览器占9.5% 、搜索引擎劫持占7.46% 、恶意共享行为占9.32%。
通过分析可以看出,在所有流氓软件中,干扰用户正常使用电脑行为的流氓软件类型占74.68%,因此可以认为目前流氓软件的影响主要是干扰用户正常使用,间接给网民带来损失。
计算机病毒的破坏度分析
计算机病毒通过恶意程序或指令感染计算机系统或者数据,良性的计算机病毒取得系统控制权后,主要表现为降低整个系统运行效率,减少磁盘的可以空间,导致系统死锁。恶性的计算机病毒破坏分区表信息、主引导信息、文件分配表,造成用户计算机死机、系统崩溃、数据或系统文件损坏,破坏系统配置导致无法重启等。
计算机病毒给用户带来了巨额经济损失,如“末日”(MyDoom)对美国Microsoft和SCO Group网站发动攻击,造成的经济损失高达52.5亿美元。
3. 根据是否具备传染性区分
计算机病毒具有传染性,流氓软件不具有传染性,这是流氓软件与计算机病毒的明显差别。
计算机病毒通过网页、电子邮件、移动存储设备等传染,可以造成程序之间的传染、计算机之间的传染,计算机网络之间的传染。病毒程序一旦侵入计算机系统就开始搜索可以传染的程序或者磁介质,然后通过自我复制迅速传播。在网络高速发达的今天,计算机病毒可以在极短的时间内通过互联网迅速传播到各个地方。
部分恶意软虽然具备了病毒化的特征,但与病毒仍然有着本质区别。流氓软件病毒化的特征体现在如通过Rootkits技术进行自我保护等。病毒化的流氓软件如My123、7939等。当用户的计算机感染病毒后,病毒会自动在后台运行,下载并安装流氓软件。同时,流氓软件在安装后也会从互联网自动下载和运行病毒,但这些做法并不是真正意义上的传染。
4. 根据用户体验区分
病毒具有破坏性,病毒不会给用户带来任何利益,只是单纯的破坏。
流氓软件部分实用功能,同时也产生恶意行为。如部分流氓软件为应用软件,既具有一定的实用价值,也会给用户带来种种干扰,能够给用户提供诸如搜索,信息浏览,上网帮助等有用功能,同时产生干扰用户(弹出广告,浏览器劫持)、使用户利益受到损失(盗取用户信息,帐户密码)等恶意行为。
第三章 流氓软件的分类
根据呈现的不同的特征和对网民造成的危害,互联网实验室从对网民的侵害范围和侵害程度两个围度对流氓软件进行分类。
3.1 按流氓软件对网民的侵害范围分类
1. 广告软件(Adware)
定义:广告软件是指未经用户允许,下载并安装在用户电脑上;或与其他软件捆绑,通过弹出式广告等形式牟取商业利益的程序。
危害:此类软件往往会强制安装并无法卸载;在后台收集用户信息牟利,危及用户隐私;频繁弹出广告,消耗系统资源,使其运行变慢等。
举例:用户安装了某下载软件后,会一直弹出带有广告内容的窗口,干扰正常使用。还有一些软件安装后,会在IE浏览器的工具栏位置添加与其功能不相干的广告图标,普通用户很难清除。
2. 浏览器劫持(Browser hijacked)
定义:浏览器劫持是一种恶意程序,通过浏览器插件、BHO(浏览器辅助对象)、Winsock LSP等形式对用户的浏览器进行篡改,使用户的浏览器配置不正常,被强行引导到商业网站。
危害:用户在浏览网站时会被强行安装此类插件,普通用户根本无法将其卸载,被劫持后,用户只要上网就会被强行引导到其指定的网站,严重影响正常上网浏览。
举例:一些不良站点会频繁弹出安装窗口,迫使用户安装某浏览器插件,甚至根本不征求用户意见,利用系统漏洞在后台强制安装到用户电脑中。这种插件还采用了不规范的软件编写技术(此技术通常被病毒使用)来逃避用户卸载,往往会造成浏览器错误、系统异常重启等。
3. 恶意共享软件(Malicious shareware)
定义:恶意共享软件是指某些共享软件为了获取利益,采用诱骗手段、试用陷阱等方式强迫用户注册,或在软件体内捆绑各类恶意插件,未经允许即将其安装到用户机器里。
危害:使用“试用陷阱”强迫用户进行注册,否则可能会丢失个人资料等数据。软件集成的插件可能会造成用户浏览器被劫持、隐私被窃取等。
举例:用户安装某款媒体播放软件后,会被强迫安装与播放功能毫不相干的软件(搜索插件、下载软件)而不给出明确提示;并且用户卸载播放器软件时不会自动卸载这些附加安装的软件。又比如某加密软件,试用期过后所有被加密的资料都会丢失,只有交费购买该软件才能找回丢失的数据。
4. 间谍软件(Spyware)
定义:间谍软件是一种能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。
危害:用户的隐私数据和重要信息会被“后门程序”捕获,并被发送给黑客、商业公司等。这些“后门程序”甚至能使用户的电脑被远程操纵,组成庞大的“僵尸网络”,这是目前网络安全的重要隐患之一。
举例:某些软件会获取用户的软硬件配置,并发送出去用于商业目的。
5. 行为记录软件(Track Ware)
定义:行为记录软件是指未经用户许可,窃取并分析用户隐私数据,记录用户电脑使用习惯、网络浏览习惯等个人行为的软件。
危害:危及用户隐私,可能被黑客利用来进行网络诈骗。
举例:一些软件会在后台记录用户访问过的网站并加以分析,有的甚至会发送给专门的商业公司或机构,此类机构会据此窥测用户的爱好,并进行相应的广告推广或商业活动。
6. 网络钓鱼(Phishing Ware)
定义:网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”。网络钓鱼指攻击者利用欺骗性的电子邮件和伪造的Web站点等方式进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用和口令、社保编号等内容。
危害:危及用户经济财产,给用户带来经济损失。
举例:诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,对用户进行欺骗。
7. 自动拨号软件
定义:自动拨号软件是指未经用户允许,自动拨叫软件中设定的电话号码的程序。
危害:直接给用户造成经济损失。
举例:通常这类程序会拨打长途或声讯电话,给用户带来高额的电话费。
8. 其它
随着网络的发展,流氓软件的分类越来越细,同时新的流氓软件不断出现,分类结果必然会随之调整。
3.2 按流氓软件对网民的影响程度进行分类
根据流氓软件对网民造成的恶意影响程度,可将其分为恶意一级、恶意二级、恶意三级、恶意四级。
第四章 流氓软件的发展阶段
中国流氓软件泛滥问题已成为媒体、网民和业界共同关注的焦点。流氓软件的产生、发展也成为大家的关注点之一,互联网实验室通过对访谈业内专家和系统研究,认为瑞星公司对流氓软件发展的几个阶段的界定和描述较为全面和合理。流氓软件的发展历史可分为:恶意网页代码、插件推广、软件捆绑和流氓软件病毒化四个时代。
图表3. 中国大陆地区流氓软件断代史
数据来源:瑞星公司 2006.11
4.1 第一阶段:恶意网页代码时代 (2001年~2002年)
2001年,某些黄色网站和中小网站通过“修改用户浏览器主页”的方法提高网站访问量。它们在其网站页面中放置一段恶意代码,当用户浏览这些网站时,用户的IE浏览器主页会被修改。当用户下次打开浏览器时会首先打开这些网站,从而提高其访问量,成为当时的流行做法。
由于“修改用户浏览器主页”只是对IE浏览器进行简单的设置,用户可以将首页重新改回来,因此“修改用户浏览器主页”的方法并没有完全实现不良网站的推广企图。
随后,不少中小网站开始采用更加恶意的方法。它们通过恶意网页代码直接对用户计算机的注册表进行修改,对一些系统功能进行限制。
这一时期,有一个名叫“万花谷”的网站较有代表性。该网站会将用户的浏览器首页修改为“http://www.on888.home.chinaren.com/”,将IE标题改为“欢迎来到万花谷!”,同时它还会禁用“IE设置”、注册表编辑器、DOS等十余项系统关键功能。这一做法给用户带来很大困扰。瑞星杀毒软件等反病毒软件纷纷将此类代码当作病毒进行处理。逐渐,恶意网页代码方式失去了生存空间,被上述不良网站所遗弃。
4.2 第二阶段:插件时代(2003年~2005年)
2003年,中国互联网上出现了一种叫做“中文上网”的新业务形式。“中文上网”的作用是将中文解析成对应的网址,使用户输入中文的公司或网站名称时能够打开它们的网站,而提供“中文上网”服务的公司借此盈利。
要想实现“将中文解析成网址”,需要在用户的计算机上安装一个插件程序。因此“中文上网”要想提升其品牌价值,就必须将插件安装到尽可能多的计算机上,占领客户端。“中文上网”通过与大量的网站进行合作,放置其插件程序,当用户访问这些网站时就会被自动安装上“中文上网”插件,并且无法卸载。
由于“中文上网”取得了巨大的经济收益,促使一些其它的厂商也推出了具有同质化功能的插件程序。为了争夺市场,提供“中文上网”业务的公司之间开始“互杀”,软件安装后会试图删除竞争对手的插件,将用户的计算机变成战场,甚至一些厂商为此对簿公堂。由于插件间的恶性竞争,在“互杀”的过程中往往造成用户计算机频繁死机、蓝屏。
2005年初,越来越多的国内互联网厂商从“中文上网”厂商间的竞争中,认识到插件推广的绝佳效果,于是纷纷推出自己的插件。这使得用户在浏览一些网站时,常常被安装了无数个插件、工具条软件。随着这种情况愈演愈烈,用户开始控诉此类插件,并将这类软件称之为“流氓软件”。
4.3 第三阶段:软件捆绑时代(2005年至今)
2005年上半年,国内一些信息安全厂商开始发布凡流氓软件工具,这些工具具有“反浏览器劫持”、“反恶意插件”、“广告过滤”等特点,如2005年6月28日瑞星发布的卡卡上网助手1.0版等。给通过网页安装插件的流氓软件提供者带来了沉重的压力。于是他们开始尝试用共享软件捆绑的方式,向用户的电脑中安插流氓软件。这些厂商网罗了多种知名共享软件的作者,将自身的产品与共享软件捆绑,并支付一定费用。当用户安装这些共享软件时,会同时被强制安装“流氓软件”,且无法卸载。
中国的共享软件体制尚不完善,盗版问题比较严重,共享软件作者很难从软件注册费中获取收益,因此纷纷通过推广流氓软件来牟利。这一时期曾经出现过一个共享软件捆绑安装十余个流氓软件的情况。另一方面,有的消费类厂商通过流氓软件弹出广告覆盖面广、营销对象确定、利润来源稳定,也开始给流氓软件发布者投放广告,这使得整个流氓软件产业形成了完整的链条。
4.4 第四阶段:流氓软件病毒化时代(2006年下半年至今)
迫于技术和舆论的压力,制作流氓软件的厂商开始两极分化。一些大牌互联网厂商逐渐“洗白”,将软件的“流氓”程度降低,还有一些厂商干脆放弃推广“流氓软件”。
流氓软件中小提供者,由于“流氓软件”广告推广已经成为其公司的主要甚至是唯一的收入来源。2006年下半年开始,为了生存不惜铤而走险,使用更加卑劣的手段进行流氓推广,并且采用更加恶毒的技术公然向反病毒软件、反流氓软件工具挑战。
瑞星公司客户服务中心的统计数据表明,从2006年6月开始,用户计算机由于流氓软件问题导致崩溃的求助数量已经超过了病毒。
这一时期的“流氓软件”有两大特点:
编写病毒化
不少流氓软件为了防止被杀毒软件或流氓软件卸载工具发现,采用病毒常用的Rootkits技术进行自我保护。Rootkits可以对自身及指定的文件进行隐藏或锁定,防止被发现和删除。
更有一些流氓软件,采用“自杀式”技术攻击杀毒软件。一旦发现用户安装或运行杀毒软件,便运行恶意代码,直接造成计算机死机、蓝屏,让用户误以为是杀毒软件存在问题。
传播病毒化
为达到更好的传播效果,并减小成本,不少中小厂商直接使用病毒进行“流氓式推广”。用户的计算机感染病毒后,病毒会自动在后台运行,下载并安装流氓软件。同时,流氓软件安装后也会去从互联网自动下载和运行病毒程序。 这部分流氓软件已经具有了病毒的潜伏性、触发性等特征。
大量流氓软件开始使用电脑病毒来隐藏自身、加快传播速度、并对抗用户的清除,这些行为严重危害到用户的信息安全和利益。流氓软件和病毒之间的界限已变得越来越模糊。
流氓软件病毒化的程度发展到何种地步,现阶段与计算机病毒有何异同?需要进行比较之后才能得出结论。互联网实验室通过对比,将流氓软件的病毒化特征进行了分析,同时对病毒化的趋势做了预测
图表4. 流氓软件的发展特征及病毒化发展进程分析
数据来源:互联网实验室 2006.12
流氓软件发展到第四阶段,部分开始具有病毒化的特征,如潜伏性、触发性等,但与病毒还是有本质的区别。通过分析可以看出,目前流氓软件的病毒化特征中,没有出现计算机病毒的传染性和变异性特征。
随着流氓软件不断朝着病毒的方向发展,要想有效清理流氓软件就必须采用反病毒技术。 信息安全公司也对旗下产品进行了升级和调整,如瑞星公司于2006年11月14日发布的“瑞星卡卡上网安全助手3.0”,是国内第一款采用反病毒技术的流氓软件清除工具,能够有效查找和清理用户电脑中的流氓软件。
第七章 恶意度的概念
7.1 恶意度的概念
恶意度是对流氓软件对用户的影响因素进行衡量监测的指标体系,是对流氓软件进行综合评价,从而确定流氓软件对用户影响范畴和程度的一种主要方法。
7.2 研究并发布恶意度的意义
由于流氓软件是伴随着互联网的出现,2001年以后才出现的新生事物,并且流氓软件的泛滥也是这两年的事。因此,到目前为止,针对流氓软件危害程度的专门研究还比较少。但是,恶意度研究却有非常重要的现实意义,这些意义主要有以下几方面:
发掘流氓软件的规律性内涵。
研究流氓软件的对用户的影响因素及影响程度。
为业界找到应对流氓软件的对策提供依据。
7.3 现有流氓软件的评价方法研究
7.3.1 现有评价方法存在的问题
流氓软件评价是指根据一定的评价方法和评价内容与指标,对流氓软件的影响进行评估。截止目前,国内外还没有一套系统、公正、科学的流氓软件定量评价体系,尽管有一些比较有代表性的研究,但这些评价均在不同程度存在以下一些问题:
1.指标没有量化,常常是流氓软件之间定性的比较;
2.指标体系不完善,要么是指标不能全面反映流氓软件影响的总体状况,要么是权重的得出主观性太强;
3.指标体系过于专业或复杂,导致无法操作,或无法长期进行跟踪。
4.评价标准不统一。国内外比较流行通过用户调查作为数据获得来源。但此种方法操作周期长、成本高,而且由于不同用户无法对款流氓软件同时进行评价,就可能造成不同用户对恶意度的评价标准不统一,因此会影响最终评价效果。
7.3.2 现有的主要评价方法介绍
现阶段,针对流氓软件,比较有影响的评价主要有微软公司评价体系、北京瑞星公司评价体系、天涯社区评价体系。
1.微软评价
今年12月5日,在新西兰奥克兰举行的国际反病毒大会AVAR2006上,美国微软公司安全研究响应小组正式发布了“亚太地区间谍软件的情况对比”报告 ,其中CNSMIN(3721)位居我国十大间谍软件的首位,其公布的中国内地十大“流氓软件”排名如下:CNSMIN(3721)、CNNIC Chinese keywords(CNNIC关键字搜索)、Baidu.Sobar(百度搜霸)、Sogou(搜狗)、Baigoo(百狗)、DuduAccelerator(DUDU加速器)、Caishow(彩秀)、DMCast(桌面传媒)、HDTBar (一种网页工具条)、Real VNC(一种远程控制软件)而且其感染率也占整个间谍软件(“流氓软件”)的半数以上。
微软公司是根据对感染率单一指标,对流氓软件进行排名的。感染率是指受到流氓软件侵害的人数占被调查总人数的比率。其中3721的感染率也占总感染率的半数以上。
微软公司的评价主要是从感染的范围来对流氓软件进行排名。这种方法的优点就是计算简单、结果直观明了;缺点是只对流氓软件危害的覆盖范围作评价,因而这种评价常常会忽略那些影响面相对小,但是危害程度非常高、对单个用户影响更严重的流氓软件。
2.北京瑞星公司评价
瑞星公司根据用户安装使用软件的流程,将软件的恶意程度分为A、B两级。用户使用的流程包括软件的安装、运行和使用、软件的卸载。在每个流程,又划分恶意行为的种类,然后判定这些种类的恶意程度。例如,在软件的卸载环节,细分成四种恶意行为,分别是:未提供清晰可见的卸载程序(B级);未提供有效的卸载程序(A级);卸载过程繁琐冗长(A级);卸载不完全(B级)。
瑞星评价方法的优点是,可以简明清晰的了解流氓软件在使用的各个环节上是如何对用户造成危害的,有利于安全软件生产企业开发有针对性的防范软件。缺点是专业性比较强,不利于广泛推广;其次是无法从整体上定量比较各款流氓软件对用户的危害程度。
3.天涯社区评价
2006年11月,天涯社区在论坛开展了一项题为“谁是最流氓的流氓软件”的网友调查活动 ,该活动通过网友对流氓软件的五个指标进行打分,进而评选出最流氓的流氓软件。这五个指标分别是诱骗安装指数、删除困难指数、系统破坏指数、弹出广告指数、捆绑流氓指数。每个指标最高评分最高为10分。
这种调查方法是能充分调动网民的参与程度,容易获得数据,缺点是该项调查的指标体系还不够完善;其次,每个网民的评价标准也不尽相同,致使评选结果可比性比较差。另外,这种调查方法,网民的代表性不强、要获得足够大的样本量,调查周期会比较长。
第八章 流氓软件的指标体系
8.1 评价指标体系的构成
本文把流氓软件定为评价目标。第一部分已经介绍过,流氓软件是指在利益驱动下,未明确提示用户或者未经用户许可情况下,通过隐蔽手段擅自在用户计算机或其他终端上强行安装运行,且不容易卸载的软件。并且,流氓软件具有强制性、难以卸载性、隐蔽性、商业目的性和自运行性的特点。同时,流氓软件又不同于病毒,流氓软件虽然商业目的性很明显,但是它又不具备传染性。流氓软件主要有八类,分别是广告软件、间谍软件、浏览器劫持、行为记录软件、恶意共享软件、搜索引擎劫持、自动拨号软件、网络钓鱼等。
根据流氓软件的定义及特点分析,从消费者受侵害的种类角度,本文把个人信息安全性、软硬件稳定性、用户使用便捷性三个方面分别定义为评价流氓软件的一级指标,然后再分别从这几个方面出发,将其分解为更具体的二级指标,最终建立一个二级指标体系,其中包括3个一级指标、12个二级指标。各级指标及二级指标的解释如图表16所示。
图表16. 流氓软件评价的二级指标体系
8.2 评价指标体系的特点
本指标体系具有相对性的特点。相对性是指评价指标是在基本相同的条件和环境下,不同流氓软件之间所进行的比较。基本相同的条件和环境是指时间、地点、测试人员、设备、测试内容等条件基本相同。
各个指标的评价满分均为10分,分数越高,该指标下的恶意程度越高。
第九章 恶意度指标的权重确定过程
9.1 判断矩阵的构造
权重是建立评价指标体系的重要内容,上述建立的流氓软件评价指标体系具有清晰明显的层次性,且层次分析法对这种多目标的评价非常有效。根据许树伯 及刘兴宇 等介绍,层次分析法的过程是对评价目标建立递阶指标体系,然后请专家对指标进行重要性的比较,构造判断矩阵,计算矩阵的特征根,从而得出相对权重和综合权重。详细过程如下:
1.建立递阶层次模型
对评价指标体系构造一级、二级指标递阶层次,结果见上面的图表16所示。
2. 构造权重判断矩阵
请专家委员会对同级的指标进行两两比较,根据指标的相对重要性,给出比例标度分数(如图表17所示),从而构造上级某指标对下级相关指标的权重判断矩阵。经过处理(对各位专家分数进行平均),构造出权重的判断矩阵。
图表17. 评分采用的SAATY1—9度评分表
含义
(某一指标相对于另一指标的重要程度) 分数
同等重要 1
比较重要 3
明显重要 5
明显重要得多 7
绝对重要 9
根据图表16的指标体系,共建立了4个评价矩阵。
此次专家委员会由互联网实验室的10名专业咨询师组成。依据图表17,专家分别根据指标的重要程度两两比较打分,对所有专家的分数平均后,得出各个评价矩阵。
9.2 权重的计算
1. 各级权重的计算
解权重判断矩阵,得出特征根和特征向量,检验每个矩阵的一致性,归一化处理后,得出最底层指标相对于上一层的权重,并逐层对上层指标计算权重。
在评价过程中,专家对指标重要性的两两比较是主观估计,因此会有一定的偏差,这也是由于客观事物的复杂性和人们认识的多样性决定的,所以,要求判断矩阵具有完全的一致性是不可能的。但是,判断矩阵估计具有基本的一致性应该是可能的。如果出现A比B绝对重要,B比C绝对重要,C又比A绝对重要的情况显然是错误的。因此在求出特征根后,要进行一致性检验,可以保证结果的可靠性。
2. 综合权重的计算
对所有指标进行综合性评价,计算综合权重。综合权重是本级权重和上级综合权重的乘积。计算后的综合权重值,如图表18所示。
图表18. 流氓软件的各级评价指标权重计算结果
一级权重 一级指标 二级权重 二级指标 综合
权重 编号
0.64 个人信息安全性 0.28 恶意收集用户信息 0.1792 1
0.60 盗取帐号和密码 0.3840 2
0.12 修改用户设置 0.0768 3
0.25 软硬件稳定性 0.13 恶意卸载或禁用 0.0325 4
0.50 系统崩溃 0.1250 5
0.19 捆绑感染病毒 0.0475 6
0.12 传播性 0.0300 7
0.06 计算机速度变慢 0.0150 8
0.11 用户使用便捷性 0.34 难以卸载 0.0374 9
0.22 广告弹出 0.0242 10
0.19 弹出其他页面、强制浏览 0.0209 11
0.25 强制注册 0.0275 12
9.3 流氓软件综合评价模型
根据图表18,可以建立流氓软件的总体评价模型,流氓软件的整体评价为:
总评分=0.64×个人信息安全性+0.25×软硬件稳定性+0.11×用户使用便捷性
从权重计算结果来看,目前专家认为,评价流氓软件比较重要的指标是个人信息安全性。在个人信息安全性中,恶意程度最高的指标是盗取帐号和密码(权重为0.60);在软硬件稳定性中,恶意程度最高的指标是导致计算机系统的崩溃(权重为0.50);在用户使用便捷性中,最恶意的指标是难以卸载(权重为0.34)。综合二级指标,盗取帐号和密码、恶意收集用户信息、系统崩溃分别是恶意程度最高的三个指标(见图表19)。
图表19. 二级指标的综合权重排序结果
9.4 实际打分办法
每个指标的评分区间:0-----10分,包括0,2,4 ,6 ,8 ,10六个分值,并且分数越高,恶意程度越高。
9.5 恶意度的分级管理
可以根据对恶意流氓软件的评价结果,按照总分自低向高的顺序,将流氓软件对用户的影响分为四级:恶意1级、恶意2 级、恶意3级、恶意4级。级别越高,恶意程度越高。
各类型的总分区间为:
9.6 恶意度的分级管理的意义
因为流氓软件的对用户的影响程度不同,既恶意度不同,因此,针对不同级别的流氓软件采取不同的治理对策,就会效率更高。比如,恶意程度4级的软件,不仅影响了用户使用的便捷性和软硬件的安全性,而且已经严重侵害了用户个人信息的安全性,存在恶意收集用户信息,甚至是盗取和密码的行为,已经属于犯罪行为,因此必须受到法律的严厉制裁。而对于那些恶意程度低(如恶意一级)的软件,果仅仅是影响用户的使用体验,弹出广告或难以卸载。一方面可以采取安全软件工具进行防范,另一方面也可以利用舆论导向和行业自律等措施进行治理。
第十章 恶意度评价模型的实际应用
10.1案例
根据以上指标体系和权重的计算结果,同时建立对每一项指标的评测打分标准,就可以对现有的流氓软件进行评价了。根据网民的举报,目前国内投诉率比较高的流氓软件为:3721上网助手.根据网络可公开的资料,网民对3721上网助手的投诉主要集中在一下几方面:
1.强制安装。通过免费或共享软件的捆绑并默认安装。
2. 浏览器劫持(添加用户不需要的按钮、ie地址菜单项中添加非法内容).安装3721中上网助手后,浏览器浏览器地址栏被无告知地植入20多项URL列表,其内容不外乎:性、娱乐、赚钱等几方面。
3.干扰其他软件运行。
4.无法彻底卸载.从安装、保护、卸载、修复几个环节来看,各个环节环环相扣,任何一环没有正确处理,则就无法实现表面的干净卸载.3721以隐藏的方式保存其文件以便快速修复,并且不能被直接删除、额外安装的两个模块必须另行卸载卸载过程中仍然试图交叉修复。
5.植入其他程序.如果被安装上上网助手,则实际上同时被植入系统的并非上网助手一个程序,而是同时另外被静默地植入了“地址栏搜索”和“搜索助手”这两套独立的程序。并且,卸载上网助手时,额外植入的两套程序不会被卸载;卸载每一套程序时,卸载对话框中都添加保留另外模块的选项,以实现非刻意卸载情况下的自我交叉修复。
6.弹出广告.其还采用了一种诱惑点击的网络钓鱼方法:以“免费电影”为幌子,播放器上覆盖广告,用户点击播放器时将触发对广告的点击。
7.使计算机速度变慢.安装上网助手后,任务列表中会存在三个进程,其中以Rundll32.exe显示的两个进程可以实现自动交叉修复,即一个进程是另外一个进程的守护进程。因此,使用Windows任务管理器是无法顺利将它们从内存中关闭的.并且,上网助手及其模块自动创建的线程数较多,占用系统资源,使运行速度变慢。
利用本文指标体系和权重对3721上网助手进行评测结果如图表20:
图表20. 对3721上网助手的评分表
3721上网助手的综合总评分为2.80,属于恶意2级。
10.2小结
本部分采用层次分析法,建立了一套系统、完整的流氓软件综合评价模型,适用于评价流氓软件对用户的侵害程度。本文还利用该模型对国内主要流氓软件3721上网助手进行了客观评价。
值得说明的是,由于流氓软件是相对新鲜事物,流氓软件从经营模式到开发的技术手段都处于不断变革之中,因而相应的评价指标体系也应随之改变,所以流氓软件的评测体系也是处在不断调整的过程中。其次,在实际打分评比中,测试选用的程序、机器和文件等条件,往往会影响评价结果,因此,应该选用不同的条件和环境进行多方位的测试,综合得到最终的评价结果。最后,在本模型的实际操作过程中,不管是专家打分还是实际评测,都存在主观判断,所以最终评测结果会存在一定的误差。
第十二章 中国现有流氓软件治理对策及效果评估
12.1 中国治理流氓软件的对策
针对流氓软件日益猖獗的情况,中国已经有多种治理对策。尤其是2006年6月以来,媒体频繁曝光流氓软件的恶劣影响,全面报道打击流氓软件的动态。同时,网民、企业、行业协会等多方面力量积极参与治理流氓软件的行动。目前中国治理流氓软件的主要治理方式有:行业自律、网民起诉、软件查杀、媒体曝光、主管部门监督等等。
行业自律
行业自律是站在促进行业健康发展的高度采取措施,旨在通过行业成员加强自律,坚决抵制流氓软件,共同维护产业的整体利益、营造良好产业环境。目前,主要的行业自律行动有:
2005年6月15日,国内的信息安全厂商瑞星公司发出了《规范软件产品行为倡议书》,呼吁国内软件和互联网企业拒绝“流氓软件”,维护广大用户的权益和整个行业的社会声誉。
2005年6月21日,瑞星、新浪、搜狐、网易等16家网络和软件企业共同签署了《软件产品行为安全自律公约》,通过企业自律,共同抵制流氓软件。公约倡导软件企业遵守软件编写规范,开发安全的软件产品,互联网企业应阻止不符合规范的软件产品的发布和传播。
2006年11月13日在“保护共享软件权益,构建绿色发展环境”研讨会上,与会共享软件企业代表发出“绿色软件倡议”:拒绝生产、传播流氓软件,倡导行业自律和可持续发展的健康理念,支持政府主管部门早日制定应对措施,切实保护广大用户的正当权益不受侵害。
2006年11月7日下午,暴风影音、FlashGet等八家共享软件商共同签署《共享软件绿色公约》,希望通过共享软件的自律来遏制流氓软件。
2006年10月至11月,中国互联网协会组织30余家互联网公司对“流氓软件”定义进行讨论,并且成立“反流氓软件协调工作组”。2006年11月22日,中国互联网协会正式公布“流氓软件定义”,同时列出流氓软件八大特征。中国互联网协会希望以行业自律的方式组织成员单位共同抵制流氓软件的传播,并准备签署和发布《抵制流氓软件自律公约》。
网民起诉
2006年9月,一群包括30余位律师的网友自发成立“中国反流氓软件联盟”,计划分批起诉流氓软件的相关公司,运用法律手段向流氓软件宣战。
2006年9月4日,中国反流氓软件联盟以涉嫌流氓软件为由起诉中搜,打响了民间大规模反流氓软件第一枪。
2006年9月11日、9月18日、9月20日,中国反流氓软件联盟先后对雅虎中国、很棒小秘书和eBay易趣提出了诉讼。此后,反流氓联盟先后起诉了十余家IT公司。
2006年10月27日,中国反流氓软件联盟起诉中搜案在北京海淀人民法院开庭,成为国内开庭的第一例起诉流氓软件的案件。12月18日,法院一审宣判原告败诉,原因是证据不足。
2006年11月9日,北京朝阳区人民法院对反流氓软件联盟起诉雅虎中国一案做出一审判决,判定原告败诉。原因是“证据不足,驳回原告诉讼请求”。知情人士透露,败诉的真正原因是反流氓软件取证难的问题。
2006年12月7日,反流氓软件联盟成立“九四网维”的非营利性公司,以公司化运作继续打击流氓软件,同时也打击范围将从流氓软件扩大到网络非法广告、电子商务欺诈、著作权保护等领域。
软件查杀
通过软件查杀流氓软件是最直接的办法,目前主要有两种:一种是一般软件商或软件作者提供的流氓软件清理工具;另一种是有信息安全厂商研发推出的专杀工具。
一般软件商或软件作者提供的流氓软件清理工具多以免费下载的形式提供给网民使用。目前网民使用较多的有超级兔子、Windows优化大师、完美卸载等,这些软件具有查找和卸载流氓软件的功能;2006年7月,奇虎公司与卡巴斯基合作推出 的“360安全卫士”软件具有查杀流氓软件的功能、IE修复、插件管理等功能。
信息安全厂商拥有强大的技术实力和丰富的反病毒经验,因此它们推出流氓软件专杀工具具有得天独厚的优势。目前国内主要的信息安全厂商均推出了自己的流氓软件专杀工具。
瑞星是国内最早对流氓软件采取措施的信息安全厂商之一。早在2002年3月,瑞星就在杀毒软件2002增强版中加入了网页监控、脚本监控功能,帮助用户应对恶意网页代码的侵扰,取得了很好的防治效果。2004年12月,瑞星杀毒软件2005版集成的“注册表监控”功能成为应对流氓软件的强大工具。2005年1月,瑞星发布免费的注册表修复工具。2005年6月28日,瑞星正式发布卡卡上网助手1.0版, 以实际行动向流氓软件宣战。2006年11月14日,瑞星推出卡卡助手3.0,集成的“碎甲”独家技术,可以彻底查杀流氓软件,并承诺免费让用户使用。2006年11月,根据用户投诉信息,瑞星先后发布分别针对“my123”、“7939.com”、“3448.com”三个流氓软件的追杀令,坚决打击危害极大的流氓软件。
国内的其他信息安全厂商也采取了针对性的措施。江民科技2006年9月21日正式向流氓软件宣战,在正式发布的KV2007中加入反流氓软件功能。金山于2006年11月14日,启动代号为“风卷残云”的封杀流氓软件行动,同时正式发布金山毒霸系统清理专家,供用户免费下载使用;2006年11月19日,启动“百城义诊”活动,帮助用户查杀流氓软件。
媒体曝光
自流氓软件出现以来,各地电视、网站、报纸、杂志等各类媒体对流氓软件发展和反流氓软件进展进行了广泛而深入地报道,特别是多次曝光了用户投诉集中的流氓软件。
其中,央视《新闻联播》以及新闻频道《新闻360》 对流氓软件典形案例、反流氓软件联盟、中国互联网协会等的相关动态进行了专门报道;新浪、搜狐、腾讯等网站对相关专家进行了访谈,制作了大量新闻专题,对流氓软件的发展及治理流氓软件的动态进行了跟踪报道,对网民进行了广泛调查;《人民日报》、《中国青年报》、《互联网周刊》等全国上百家报纸、杂志从不同角度对流氓软件进行了报道和分析。
主管部门监督
对于同时涉及到网民、网站、软件产商的流氓软件治理问题,作为政府主管部门的信息产业部在流氓软件的管理和监督方面具有不可或缺的重要作用。
2006年11月13日,信息产业部软件与集成电路促进中心联合反流氓软件联盟、国内软件行业代表发布“绿色软件倡议书”,呼吁拒绝生产、传播流氓软件。
2006年12月6日,信息产业部对外公布了流氓软件的举报电话(010-12321),开始接受用户的举报和投诉。
网民、网站、安全厂商、行业协会、主管部门等各方的措施已经初步发挥了作用,有效地打击流氓软件的猖狂影响。但是,仍然还难以从根本上治理流氓软件,其中最根本的是目前法律上对“流氓软件”缺乏明确的定义,打击流氓软件缺乏有力的法律依据。
目前,我国涉及计算机信息安全管理的法律法规有《刑法》、《计算机信息系统安全保护条例》、《计算机病毒防治管理办法》等等。
其中《刑法》第二百八十六条规定:【破坏计算机信息系统罪】违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
很多流氓软件对计算机信息系统的功能进行删除修改或者增加,与破坏计算机信息系统罪比较吻合,但是,刑法上规定,破坏计算机信息系统罪的主体为年满16周岁并具有刑事责任能力的自然人。而互联网上流氓软件发布者大多为法人。所以,刑法对此不适用 。
《计算机病毒防治管理办法》第二条对计算机病毒进行了定义:本办法所称的计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
目前,调查显示大多数流氓软件更多表现的干扰用户的正常使用,只有很小部分流氓软件具有破坏性,但是尚不具有自我复制的特征,不符合计算机病毒的定义,因此《计算机病毒防治管理办法》中的规定对流氓软件缺乏约束力。
国务院147号令《计算机信息网络国际联网安全保护管理办法》第六条规定:任何单位和个人不得从事下列危害计算机信息网络安全的活动:未经允许对计算机网络信 息进行修改、删除的;未经允许对计算机系统信息网络功能进行删除、修改或者增加;未经允许对计算机信息网络中处理或者传输的数据和应用程序进行删除、修改或增加的;故意制作传播计算机病毒等破坏行为;其他危害计算机网络安全的。147号令第七条规定:用户的通信自由和通信秘密受法律保护,任何单位和个人不 得违反法律规定,利用国际联网侵犯用户通信自由和使用。目前很多“流氓软件”对计算机信息的功能进行删除修改或者增加,或者破坏用户的隐私,故违反了该规定 。但是因为很多流氓软件产生恶意行为具有瞬时性,很难在短时间内保存证据;同时流氓软件的危害具有相当强的隐蔽性,普通用户在缺乏技术支持的条件下,也难以发现流氓软件的恶意行为。所以,在实际应用这些法规时面临着取证等重重困难。
其他法律法规如《消费者权益保护法》也有相关规定,但是都存在对“流氓软件”缺乏针对性或者规定缺乏可行性。因此,有关专家提议修订现有的法律,比如2006年11月14日,在中国软件协会召开了“流氓软件如何规范管理”主题研讨会上,与会的专家表示,2000年10月27日,信息产业部制定了《软件产品管理办法》,但由于技术先于法律法规,该办法并没有规定对流氓软件的具体管理办法。因此,专家提议修订《软件产品管理办法》实施软件产品登记制度,要求所有软件产品必须通过登记、检测和认证,任何软件不得含有未经用户许可的强制安装、强制使用、隐藏功能及不可完全安全卸载技术等内容。
12.2 中国现有治理对策的效果评估
目前的这些治理措施在不同程度上都发挥了作用,具有积极的意义,但是同时也存在不足之处。
行业自律更多是从道德层面发挥效果,由行业成员根据自律公约自觉抵制流氓软件,规范自身行为,但是公约缺乏有效的约束力,同时也缺乏有力的制裁措施。在巨大商业利益的驱动下,流氓软件背后的商业公司和个人仍然没有停止制作和传播流氓软件。目前,行业自律的实际效果尚不明显,但是对于打击流氓软件形成良好的产业环境具有重要意义。
反流氓软件联盟起诉中搜、雅虎等案件都尚未胜诉,但是诉讼的效果是积极的。流氓软件诉讼案经过媒体广泛报道后,在业界已经形成了比较大的影响。一方面,现在大多数流氓软件开始收敛,不再进一步推广,涉嫌的公司也纷纷与流氓软件划清界限;另一方面,诉讼案引起了业界的广泛关注,引发了相关人士对立法治理流氓软件的讨论和呼唤。首先从法律的高度来治理流氓软件已经成为广泛的共识。
信息安全厂商凭借自己强调的技术力量,通过提供专业的杀毒工具,能够帮助用户找出并有效地清理大部分流氓软件,具有良好的实际效果。来自瑞星的统计数据显示:从2006年11月14日至11月30日仅半个月时间,瑞星用户通过瑞星卡卡助手卸载流氓软件的次数就超过2.1亿次,金山毒霸的系统清理专家的下载量也突破了百万大关。但是安全厂商也面临着重重困难,一方面流氓软件不断变化,尤其是渐渐向病毒化发展,技术上还难以实现全面、彻底根除流氓软件;另一方面,信息安全厂商迫于某方面的压力,还不能充分发挥作用。此外,由于目前法律上对流氓软件的判定缺乏明确定义,如果处理不当,信息安全厂商可能会涉及到不正当竞争,面临潜在的法律风险。这方面,瑞星采用的方法值得借鉴。瑞星把是否删除流氓软件的决定权交给用户,由用户作主,这样的做法具有良好的可行性和创造性,既可以有效保护用户计算机安全,又可以规避可能的法律风险。
媒体报道对于治理流氓软件形成了良好的舆论环境。一方面,媒体对流氓软件恶劣影响的曝光,提高了广大用户对流氓软件危害性的认识和警惕,对制作和传播流氓软件的网站也具有非常大的监督作用;另一方面,媒体对治理流氓软件措施和动态的报道,可以号召更多的机构和个人参与到治理流氓软件的行动中来,有利于扩大治理措施的影响和加强打击力度。
政府主管部门发挥的管理和监督作用至关重要。信产部已经在12月6日公布了举报电话,接受用户投诉。但是对于流氓软件的治理力度仍然不够,还需要从促进产业发展、构建良好产业生态的高度来制定规章制度,采取更加有效的措施。同时,因为现有法律对“流氓软件”的缺乏明确的界定,相关的规定散见于不同法律法规中,在专门立法或者修订现有法律时,也需要主管部门切实配合立法机关开展相关工作。
互联网实验室总结国内现有的流氓软件治理措施,从有效性、影响力和可行性三个方面进行了综合评价,评价结果如下:
图表22. 流氓软件治理措施综合评价表
评价指标
来源:互联网实验室 2006.12
通过综合评价可以发现:从有效性和影响力来讲,立法或者修订法律是最好的措施,但是需要的时间长,成本高;从有效性和可行性来讲,信息安全厂商推出专杀工具具有见效快、易实现的优点;从影响力和可行性来讲,媒体曝光具有影响大、时间快,成本低的优点。不同措施具有不同的效果。