[转帖] 解析流氓软件和俺对付流氓软件的方法

老顽童

解析流氓软件
作者： 航亿苇 | 2006年09月28日06时56分 |    【内容提要】“流氓软件”是恶意广告软件(adware)、间谍软件(spyware)、恶意共享软件(malicious shareware)、行为记录软件（Track Ware）、浏览器劫持等侵犯互联网电脑的软件总和，往往通过一定的实用功能来达到商业或非法攫取目的；它不同于电脑病毒，但在流传模式上与电脑病毒有很大的相似性；它一般不会像电脑病毒一样严重破坏电脑软硬件系统，但会给电脑软硬件系统带来慢性损害，其最主要特征是大量占用电脑系统资源，令网民使用电脑带来很多麻烦，被迫访问某些网站和使用某些软件的功能；它被植入互联网电脑，是通过隐蔽、强制、捆绑等形式实现的。
所谓流氓软件对网民的侵害，实际上2000年前后就开始了。可直到2005年，大家才对其愤怒起来。可一时间，找不到适合的途径对付他们。这其中一个重要原因是电脑病毒横行，过多地吸引了公众的注意力，而忽略了互联网上其他形式的侵害行为。
“流氓软件”并不是一个准确的命名，但经媒体传媒之后，这将是代表劫持、恶意及强制安装、给网民电脑带来损害及麻烦的一种互联网侵害行为的总称。
一、“流氓软件”的定义
   一些互联网商人企图以提供“服务”、推广“理所当然”为借口，坚决否认自己的软件为“流氓软件”。也有人声称如果“流氓软件”定义得过严，会损害互联网的发展。又有人称网民需要获得某种便利，就得允许安装某种插件，云云。但不论如何辩解，只要相关行为对广大网民产生不同程度的侵害，那就应当是“流氓软件”！
“流氓软件”是恶意广告软件(adware)、间谍软件(spyware)、恶意共享软件(malicious shareware)、行为记录软件（Track Ware）、浏览器劫持等侵犯互联网电脑的软件总和，往往通过一定的实用功能来达到商业或非法攫取目的；它不同于电脑病毒，但在流传模式上与电脑病毒有很大的相似性；它一般不会像电脑病毒一样严重破坏电脑软硬件系统，但会给电脑软硬件系统带来慢性损害，其最主要特征是大量占用电脑系统资源，令网民使用电脑带来很多麻烦，被迫访问某些网站和使用某些软件的功能；它被植入互联网电脑，是通过隐蔽、强制、捆绑等形式实现的。
“流氓软件”给互联网用户造成侵害，主要有以下几个方面：
1、电脑系统资源被大量占用。给用户的主要感受是电脑越来越慢了。随着“流氓软件”的大量堆积，电脑会慢得无法接受。
2、电脑被劫持。主要表现为一启动IE就被迫访问某个网站乃至一下子弹出若干个网站，其次是不断有弹出广告出现，干扰正常电脑操作，再次是被迫进入某个软件系统，又次是电脑被远程非法控制等。
3、电脑软硬件损害。由于读写频率呈几何激增，网民电脑硬盘、显卡、主板等部件容易损坏；由于注册表项目和DLL资源文件等大量增加，容易引起电脑操作系统崩溃。
4、电脑界面受严惩干扰。如IE窗口增加一个又一个“工具条”，实质用于浏览的窗口变小了。
5、电脑系统紊乱。部分“流氓软件”由于自身BUG、主观故意陷阱等原因，造成与基本操作系统及正常软件的冲突，使互电网电脑发生不正常启动、重启动、蓝屏、假死机、死机等现象。
6、黄赌毒搔扰。“流氓软件”与黄色、赌博软件似乎天然地联系在一起，不断向网民发出不良信息诱惑。
7、反复自动安装和无法彻底清理。互联网用户被“流氓软件”侵入后，要么无法卸载，要么卸载后又被强行安装，令人烦不胜烦。
8、制造新的电脑系统漏洞，为电脑病毒发作留下方便之门。一些“流氓软件”就是“亚病毒”或借用病毒的入侵形式，这样电脑病毒就有了新的寄主。
9、电脑秘密被泄露。这也是部分“流氓软件”被称为间谍软件的原因。某些“流氓软件”盗取上网密码等资料，让网民胆战心惊。
二、网上侵害“流氓软件”甚于电脑病毒
目前网上侵害主要有电脑病毒侵害、“流氓软件”侵害、网上诈骗侵害等方面。“流氓软件”除了具有电脑病毒某些相似危害性之外，还严重干扰互联网的秩序和基本规则，令正常商业软件难以正常发展。尤其是盗取互联网用户密码、远程非法控制网民电脑等行为，更会给互联网发展带来毁灭性的破坏。比如某些“流氓软件”控制网民自动拨打长途电话，这不仅是“流氓”，而是偷盗和抢劫了。
三、互联网的基本原则
1、网民电脑软件必须是自主、自愿安装的。凡是不请自来的软件，都是邪恶的，哪怕它确实有用。
2、网民的电脑资源属于其拥有者，任何人、任何商人、任何机构都不得窃取和占用。
3、网民上网具有不受干扰的权利，不应接受意外的弹出窗口。所有所谓“弹出广告”都是恶意的。
4、网上所谓点击率必须是真实的，不应是骗取的。
5、网上隐私权不得被他人损害。
6、凡是大部分网民讨厌的软件那一定是可恶的东东。
四、“流氓软件”的存在形式
1、独立执行软件。具有某些实用功能，如已经臭名昭著的“3721”、“DUDU”等，可通过捆绑、强制安装等手段，造成互联网用户资源虚耗。如“3721”及其“上网助手”一经安装，将自动生成“地址栏搜索”和“搜索助手”这两套独立的程序，同时，浏览器地址栏被无告知地植入20多项URL列表。用户被植入隐蔽文件数量惊人。“3721”在“WindowsDownloaded Program Files”、“WindowsSystem32Drivers”、“Program Files”产生驱动程序、自启动程序、自我循环再生程序等文件达53个，并增加2个文件夹，“上网助手”也相似地增加114个文件和9个文件夹。在注册表中，“3721”写入122个键项、408个键值；“上网助手”写入251个键项、656个键值。其中在HLM下面的Run键项中添加helper.dll、YDTMain.exe、CnsMin、CnMinPK.sys之类的自动加载模块，一方面难以检测，一方面删除之后又重新生成，让互联网用户解不脱“3721”的纠缠。
2、寄生程序。通过一定的技术手段，利用基本操作系统的基本特性和漏洞，将一段寄生到互联网用户的电脑的常用程序之中。通常这类程序被命名为木马，它将随正常程序一块启动。它非常接近于电脑病毒，可在电脑开后门，收集账号、密码、上网习惯等资料。互联网用户不知不觉间，自己的隐私就被他人窃取了。
3、插件。在浏览器、WORD、EXCEL及电脑桌面、启动栏等处自动增加图标、工具条、链接导向等，期待用户不小心或好奇就“点击”了。如google上网助手、8848“搜索助手”、eBay工具条、易趣工具栏、搜搜工具条(SOSO)、CNNIC中文上网等。某些独立执行软件往往存在多项插件。
4、Cookie驻留。Cookie是一种特殊的IE功能区，主要为Web应用程序保存用户相关信息的一种方法。很多“流氓软件”利用这一特性，设法将某些网站或程序的启动信息写入Cookie，从而实现自启动或自动加载。
5、共享软件。某些共享软件设定破坏或干扰程序代码，到了一定时间或满足一定条件，就来作恶。一些共享软件甚至毁坏电脑系统，让人措手不及。
6、其他。
五、感染“流氓软件”的途径
1、访问了恶意网站。通常色情、电脑游戏、软件下载等类型的网站中，会隐藏不少恶意网站。此类网站一经访问，必定中招。
2、电子邮件、广告等诱导。电子邮件诱导是常用的方式，此外通过某些网站广告和传统媒体广告，也让人中招。比如EBAY，通过多种途径进行广告诱导。只要一碰上它，就被它粘住了。
3、共享软件。安装了某些共享软件，“流氓软件”就在互联网用户找到了根据地。
4、其他。
六、感染“流氓软件”的症状
1、电脑整体越来越慢了。
2、桌面、IE浏览器等处出现意外的图标、工具栏。
3、一启动IE浏览器，即被指向某网站。
4、想删除的东西，按正常操作找不到删除的办法；被删除的软件，下次开机又重新出现了。
5、不断有弹出窗口出现，有时一弹出就是很多个。
6、用“优化大师”等优化及清理电脑之后，电脑蓝屏或死机。电脑开机意外提示某程度未找到。
7、进入某网站，想关IE很难关掉。
8、假死机。电脑像是瘫痪了。强制开机又可以用了。
9、在任务管理器的“进程”中，可以见到某些奇怪的程序。有些程序名称看起来是下一个随机数。将所有正常程序都关了，可以看见某些模块在不停地耗用CPU资源。
10、原来运行几个大程序都是正常的，现在多任务就不那么好用了。如WORD、PHOTOSHOP程序，启动特别慢。有时程序走到一半，就终止了。
11、莫名其妙地出现登录窗口。
12、你上网的账号、密码、QQ号等被他人盗取了。
七、“流氓软件”背后的利益驱动
1、某些奸商为了扬名立万所采取的恶心手段。淘宝网的成功，采用“流氓软件”是其重要策略。诸如此类的“成功案例”令新老奸商欲罢不能。
2、点击率之祸。为了追求点击率，一些企业及个人可以不择手段。
3、广告赚钱。网上通过点击广告而获得收益，是一种真真假假的游戏。这对青年学生“勤工俭学”诱惑性极大。尽管不少人上当受骗，但也确实有些广告赚钱是真的，便让很多青年学生成了传播“流氓软件”的无知少年。
4、色情和赌博网站的钓鱼行为。这类网站常受到政府的打击，无法公开宣传，所以就通过“流氓软件”的恶心行为把网民吸引过去。很多“流氓软件”捆绑和弹出的窗口，就是这类货色。
5、盗取用户账号、密码、上网习惯等重要资料。这行径类似于强盗，应是严重犯罪。
6、推销某些软件。某些软件依靠正常途径很难销售，就借助“流氓软件”以获取成功。
八、中国“流氓软件”生成的社会环境
1、立法滞后，对互联网侵害行为缺泛操作性强的法律手段。
2、盗版软件横行。由于长期不注重知识产权保护，公众几乎没有知识产权意识。能用免费的，当然不愿花银子去买。
3、正版软件太贵，让网民被迫选择使用盗版软件。
4、支付手段太麻烦。没有方便、快捷和安全的支付手段，网民即使愿意使用正版软件也有心无力。
5、打击“流氓软件”个人付出成本过高。哪怕只要“流氓公司”赔偿一块钱，对公众做一个道歉，也是相当困难的。
6、政府监管错位。在互联网，该管的不管，不该管的乱管，让我国互联网的发展环境充满隐忧。
7、网民缺少自我防护意识和技术手段。大部分网民对电脑知识是一知半解的。
8、反“流氓软件”的软件技术不成熟。
9、中国的软件设计在软件保护手段方面浪费太多精力，这一定程度上推动了“流氓技术”的“发展”。正常软件销售，应信赖知识产权的保护机制。目前这方面存在太多问题，就得大家团结起来，创建正常的环境，而不是“以暴制暴”，否则永远网无宁日。
10、急功近利。太想一夜成名，一夜暴富的社会心理，危害甚巨。
九、如何防范“流氓软件”侵害
一些网站介绍的预防流氓软件方法，如不要访问某些网站，对可疑电子邮件不要打开直接删除等办法，说了等于白说。我们要查找某些资料，自然要访问不确定的网站。阅读电子邮件，自然会不小心打开某些邮件。看到诱人的软件功能，我们自然想试试到底合不合用。防范“流氓软件”，固然要小心，但更主要的是方法正确，且实用。
1、注意保存注册表
以WINDOWXP为例，通过“开始”→“附件”→“系统工具”→“系统还原”创建一个系统还原点，是简单的一件事。这一方法仅仅是保存一下电脑注册表信息，但对电脑还原到正常状态，有时还能起到一定作用。
2、聘请电脑高手帮助
现在懂电脑的人也不少，也有电脑专业服务公司。让他们来帮你，很多难题就简单解决了。
3、利用反病毒软件、恶意软件清理工具等综合防范
本人前段时间深受恶意软件困扰。一天，发觉通过金山毒霸、恶意软件清理工具、超级兔子等组合使用，恶意软件就基本在俺面前退缩了。凭心而论，这个组合并非最佳。如金山毒霸让电脑启动时间增加，但它实时自动更新杀毒资源库的做法值得推荐。金山网镖曾是一款非常差劲的软件，过去不得不加以删除，但现在它好了很多，对一些恶意软件确实能起到一些防范作用。恶意软件清理工具可以暂时清理掉不少“流氓软件”。刚清理之后，电脑速度明显加快。但缺点是缺少主动防范机制，往往清理过后几天，“流氓软件”又卷土重来。超级兔子集合了当前反“流氓软件”的多项功能，但由于它的操作说明做得不好，可能关闭某些必备的功能，所以一般网民使用它有一定的困难。此外，超级兔子某些过滤功能是不严谨的。如其“上网精灵”中的某些设置，就还不完善。其“禁止浏览指定的网址”只能一条记录一条记录地输入，显然相当麻烦。网民已经列出一批恶意网站。若超级兔子可以成批输入这批网站，那无疑是非常方便的。

俺用以下的软件对付，现在终于可以松口气了。
1、ewido  序列号 70EW-TH17Q1-PM-C01-S1W2QD-MEM-NUYY
2、Guardio
3、RogueCleaner
4、Ad-aware
5、mmsk
6、KakaSetup
其他的杀毒软件一律不用了，就这几个全解决，并且是绿色的，可升级的。

mikyu

    像中国最大的门户网新浪也不断弹出令人讨厌的广告，想一想还有什么不流氓？
中国已经进入全民流氓的新时代，360的周是流氓软件的反对者也是第一大流氓3721的作者，中国互联网中心员工还在中央电视台谈论流氓软件的危害具有讽刺意味的是他们的软件排在十大流氓的前十位。他们改邪归正了吗？不会的狗改不了吃食的本能。

YANGSH

等级: 公务员 [荣誉]
信息:      
威望: 0　积分: 1887
现金: 53849 ev元
存款: 804 ev元
贷款: 没贷款
来自: 距天安门71KM