[原创]我是“间谍”— & —《spyware》

DC.Direct

5[原创]另眼看待-3721上网助手&这个“该死”的《spyware》

我以前不知道中了“真正的木马”，或是被所谓“spyware”软件盯上后的感觉是怎样，对于大多数人（包括相当一部分老鸟们）来说，如果它运转是那样的“悄然无息”，而且又不会象“蠕虫”病毒那样拖慢你的系统的话，估计大家一时半会儿是感觉不出有任何异样的，甚至当出现某些莫名奇妙的问题时，估计和我一样也不会想到是这个“玩意儿”在捣鬼。怎么可能呢！我问自己，这到底是什么东东？居然上了2004年十大吓不死人新闻榜榜首，好家伙，乖乖不得了了。 （2004国内"间谍软件"危害现状http://article.pchome.net/2004/11/10/29951.htm）

直到有那么一天，这东西忍耐不住寂寞，开始强制占用IE窗口，并不时的跳到桌面上，冲着你大叫“我是间谍，我是木马”的时候，那种无奈而又无助的感觉真是难以形容了。尤其是当你发觉它的存在不是一天两天，而且你所知道的、及所能想到和做到的方法均已失败告终后，你会清楚的意识到以往那种快意的网上冲浪生活，会是离你那样的遥远且不可触及。一种莫名并挥之不去的阴影开始笼罩着你。行，想晃倒我？ （IE恶意修改防护**——这是一个大家经常会遇到的问题。http://club.excelhome.net/viewthread.php?tid=29392）

痛病思痛，想到以前看到报道说过，什么网络游戏或是QQ的帐号被盗了，信用卡密码被窃了等等，窃喜自己只会用“很专业的？”MSN，也从来不玩什么幼稚的网络游戏，更没有什么时候钱多的要到网上去挥霍的地步。安慰自己下：呵呵，并没什么大不了的。能奈我何！格式化重装呗，这我最拿手了。说这话明显底气不足，后悔自己当初没好好学学怎么用GHOST。明知道是个宝，就是“懒”的弄啊。一直以为没什么好担心的，唉，这又能怪谁呢？可我不服气呀，心不甘啊。做这样没水准的事，会让老鸟们笑话的。（Norton Ghost手册这个是值得用下http://www.myhard.com/DIY/360856417701199872/20040310/1775885.shtml）

该死的spyware：你NB！你厉害！我怕你了！靠，老鸟大风大浪这么多年，看你除IE上还能折腾出什么花样来！当然了，话又说回来，我也承认，你就是折腾出来了，我也看不懂你背地里到底作了那些手脚，就连国际知名的联合国杀毒软件也没瞧出个123来，我又能怎样。不过，嘿嘿，毕竟是老鸟，“经验”老道，我找到了一个比你更NB、更厉害的角色来——那就是“骂名鼎鼎”的{3721上网助手}。用了它那到是精干的{ierepairer}，哈哈，露出马脚不是。狂笑不已，我。。。 （3721上网助手2005 http://zs.3721.com/ 如何卸载3721）

爱又恨的3721啊，怎么说你呢，虽然平时有那么多人瞧不起你，但我看你还挺顺眼的，也对你抱有满高的期望，要不也不会在很紧张的系统栏中留个位子给你，而且常常是首位。坐班上网冲浪的时候，你还时不时起点作用，不错呀，但要保持住这精神头啊，怎么跟国（男）足似的，关键的临门一脚总爱掉链子。就告诉我：“发现恶意代码1项，其程序名为63b95211，已修复”，这就解决了！？当我满欢欣喜的再次打开IE后，精神差点没崩溃了，，，缓过点神后对spyware：别得意，还有GOOGLE在呢！我咬牙道。（卸载3721工具，GOOGLE别说你没用过哟 http://www.google.com/intl/zh-CN/ 及关于反间谍软件的介绍 http://www.anti-spyware-review.toptenreviews.com/?ttreng=1&ttrkey=spyware）

主席曾教导过我们，一切号称spyware的在GOOGLE面前都是纸老虎。随便个东东，就能降伏你，哼，抄起家伙，壮志诚诚，我抄，我抄，我抄抄抄。。。咦，闻到一阵蛋炒饭的香味，真是不抄不知道哦，GOOGLES真奇妙！工夫不负炒饭人，sorry，瞧我这点出息。我终于找到和我同病相怜的了，有点老鸟见老鸟，两眼泪汪汪的，哽咽。。。果然，同样的，也是“每次点击IE启动后，网页显示一个search for 页面（无地址）”，关键的是有位“高人”指点了前进的方向——是spyware作乱，我看到了光明，涕泣。。。不管3721（*），拿起“高人”推荐的利器，步步逼近spyware，哪里走，着家伙吧你。

（“*” 安装反间谍软件时，最好关闭3721上网助手，以下两款推荐，注意：

（1）Spybot是一款检测和清除间谍软件（SpyWare）的工具，http://www.spybot.info/en/download/index.html （2）SpySweeper本软件的设计目的是清除你pc上难于定位的间谍软件（SpyWare）http://down1.tech.sina.com.cn/download/downContent/2004-05-14/9962.shtml ）

我不知道自己在作些什么，也不知道这么做的后果会发生什么，spyware让我坐立不安，到了无以复加的地步，只想着从这个噩梦早日解脱出来，清醒过来，回到那熟悉且无忧无虑的菜园生活中去。而现在NEXT是我手中的一切，颤抖的光标在屏幕中上下飞舞。。。总算有结果了，随着一个个“间谍”程序被检查出来，我也渐渐平静下来，好家伙这么多，足有11种之多，其中几个还标注很有名似的，也是，网上冲浪在所难免，呵呵，等下这是什么，很眼熟啊——居然是3721上网助手。我大惊，虽说以前也听说过，没想到实实在在碰到了。。。

虽然有点累，但我还保持个谨慎的心态，一点点的来，看清楚慢慢来，我不断提醒自己。这个好象和创新声卡的升级程序有关，怎么也被列为“间谍”呢，这个后面带个VLK V2+，似曾相识，细看地址后，我倒吸口冷气，不会是我安装的操作系统有问题吧，我努力回想着。。。先不管这些，重要看是否能解决掉[search for]。。。不行，，，不行，，，还是不行，直到所有被标识的“间谍”程序被清除了。问题依旧。。。换个反间谍软件，我给自己打气道。。。但经过长时间反复后，我彻底绝望了。。。

我知道又要复习以前的功课，只好FORMAT，我嘀咕着，很是恼火。拔掉电源，端起蛋炒饭，看阳光卫视去了。巧到家的是，节目中正播放的是网络“间谍”程序蔓延的问题，其中一条说的是美国政府开发了一款名叫“肉食动物（食肉者）” 的程序，专门刺探全球往来的电子邮件，911后，又出了个更厉害的“神灯”，无所不能，当然主题是讨论美国人敏感的隐私问题，感觉有点夸张的味道，不过不经意的让人联想到，现在网上的扫黄打非行动，以及种种相关报道，感觉上有点怪怪的。。。快睡过去的时候，蹦出这么段话，差点让我连同饭碗一块掉到沙发底下去：“某些反间谍软件其本身就是一款窥视他人的间谍软件，主要目的是防止其他反间谍程序运行。。。”晕倒~~~

无聊的现实总是那样的乏味，如同枯燥的工作中，碰上位能让你郁闷死的同事。兴奋的莫名总是瞬间疾逝，灵感这种东西，像对于我这样整天想着天上掉馅饼的人来说，如同你刚看到一样，简直是前言不搭后语，驴唇不对马嘴，玩深沉罢了。STOP！突然我想到可以这样，打开搜索，根据时间条件，在C:\WINNT\system32下查找可疑的*.dll文件，对了就这个碍眼的DLL文件，不论不类的，管它什么，彻底删除。。。

我清楚的知道spyware还驻留在某个角落中蠢蠢欲动，不过对我已无关紧要，只要看似一切正常就OK了，对于它是间谍程序还是木马病毒，并没什么意义，反正一切又恢复了往日的平淡。。。我了解所面临问题的严重性，可以想像的到所会带来的后果是怎样的，没关系，我可以蔑视它的存在，就如同有时不用理会旁人的存在是一样的。

（间谍软件防范专题 http://www.chip.cn/1006.php?sid=3152 在C:\WINNT\system32下查找可疑的*.dll文件，注意查找的时间段，需仔细查验，最好通过专用查杀工具，这可能是下下册了，需谨慎。该恶意代码变种较多，更新很快，相当部分可以被杀毒软件检查出来，但有时不行，对于间谍软件清除工具而言，检测和清除间谍软件的能力是至关重要的，间谍软件大多以应用程序动态链接库（DLL）捆绑方式运行，或者以浏览器插件的方式安装到浏览器上，一般的用户很难发现它们。）[em06]

[此贴子已经被作者于2004-11-22 12:34:44编辑过]

DC.Direct

附注：

最出色的一款间谍软件清除工具 免费而且易用性相当强 内置简体中文语言的操作界面 强大的基本功能与丰富的附加功能 实际测试的检测和清除效果好 不能清除干净链接与功能菜单

间谍软件

是一种新型的具有威胁的软件，不同于普通的病毒和木马，当你的ie的工具栏上面被莫名其妙安装了一个软件，或者你的浏览器崩溃了，以及你打开浏览器的时候你的默认连接被改变了，那么你想必是中了间谍软件了。

这些间谍软件是在你上网的时候无声无息的被安装了。这些间谍软件通常伪装成一个应用程序，但间谍软件能报告和记录你的活动，这些信息被发送到某个站点，或者用来收集访问你的计算机的信息。

反间谍软件

能有效的、安全的检测和删除你计算机上的间谍软件，有效的保护你的计算机防止被身份盗窃、浏览器劫持、黑客攻击、键盘记录和感染木马。（详见间谍软件防范专题，同上）

声明一点，spyware不是病毒，杀毒软件是不能发现的。

下面是spyware的危险等级划分： Threat Levels Explained

Level 1: Minor Annoyance No immediate threat, may profile users, but has specific privacy policies in place. Not so dangerous, fairly easy to remove, using standard "Add/Remove Programs" function.

Level 2: Annoyance May profile users and no privacy policies in place. May make use of "drive-by installation". Removal is possible by end user.

Level 3: Minimal Threat May profile users or broadcast data back to a server with ("opt-out") permission.Removal is hard.

Level 4: Moderate Threat Nearly impossible to remove manually.

Level 5: Threat

Level 6: Potentially Dangerous Logs keyboard activity, takes system snapshots.

Level 7: Moderately Dangerous Logs activity and removal is difficult.

Level 8: Highly Dangerous Logs activity, uses stealth installation and removal is difficult.

Level 9: Highly Dangerous May open up communication ports, use polymorphic tactics, stealth installations, and/or anti-spy counter measures. May contain a security flaw.

Level 10: Extremely Dangerous May open up communication ports, use polymorphic tactics, stealth installations and/or anti-spy counter measures. A high possibility of potential system damage or security flaw. Attacks has complete control over your machine, can execute command in your place. May (attempt) to disable anti-virus or firewall programs.

感谢 lfspecter 提供的有关教程 http://club.excelhome.net/viewthread.php?tid=69985 [em17]

[此贴子已经被作者于2004-11-22 12:10:59编辑过]

DC.Direct

网络世界 2003-10-13 第38期

企业网络面临的攻击正变得越来越狡猾和诡秘，这些攻击可以躲过传统的防火墙和反病毒技术，对企业网络和数据安全带来了巨大威胁。间谍软件（Spyware）是目前最具威胁性的攻击手法之一。Spyware是一种秘密安装在系统中的软件，它可以监视和记录系统的各项活动，并将收集到的信息通过广播的方式发送给第三方。

对付Spyware，必须使用专用的消除工具。Spyware清除工具是一种可以进行行为判断，并且能够实现自我调节的软件。它们可以对系统实施扫描，查找并清除其中的特洛伊木马、密钥日志程序、拨号程序、Cookie等。

Spyware清除工具在很多方面类似于反病毒软件。它们使用客户机、Spyware清除服务器和管理控制台。由于Spyware每天都会出现新变化，因此厂商提供的Spyware定义自动升级服务就显得十分重要。通过Spyware清除服务器，并且使用一个集中管理的控制面板，人们就可以管理Spyware清除工具的升级活动。

专业的Spyware清除工具厂商通常会提供一个清单，用来提示用户哪些Spyware程序会驻留在主机中，并告诉用户这些Spyware程序的位置和作用。Spyware清除工具依靠并利用这些特征清单来清除Windows注册表中的项目或个别文件，在有些情况下还会删除硬盘上的整个Spyware目录。

在通常情况下，Spyware会在系统中的不同位置安装一个执行文件和其他附属文件。这些文件被称为Spyware痕迹。如果不使用专用的Spyware清除工具，即使主要文件被删除，Spyware仍然可能遗留下一些痕迹。删除Spyware主要文件只能治标，而不可能将问题完全根除。

与病毒不同的是，并非所有的Spyware程序都应该被自动清除。管理员需要根据所使用的程序对特征清单加以定义。例如，RemEye是一种安装在WinVNC服务器上的控制台应用软件，具有一个易于使用的安装程序，并且是一种有效的管理工具。由于该程序在安装时使用缺省口令“abcd”，一些居心不良的人便利用这一点使该程序变成特洛伊木马。此外，许多Spyware的大量片段也与合法应用存在链接关系，而且对于这些应用的正常使用是必不可少的。

先进的Spyware清除工具不仅可以查找Spyware所有相关的痕迹文件，而且还能提供一个全面的Spyware描述数据库。该数据库记录有每种Spyware的详细特征以及威胁水平。不过，网管员要想制定出有效的Spyware清除策略，还需要对数据库进行定期升级，在第一时间获取最新的Spyware特征信息。

在Spyware清除策略建成之后，消除Spyware就变得非常简单。在典型的消除操作中，Spyware清除工具可以利用预先安排好的计划对客户机进行扫描，然后Spyware清除工具能够根据Spyware特征信息找出系统中的Spyware，并对其实施禁用。这样，Spyware就可以被永久清除。

目前，一些Spyware已经具备了反 清除能力，如果它受到攻击，这些Spyware就会试图删除Spyware清除应用程序。在有些情况下，一些狡猾的Spyware如果意识到自己已被发现，并且有可能被清除，它们便会自动改名，从一个位置跳到其他位置。

所以，昨天还十分有效的Spyware清除工具到了今天就有可能变得一无是处。对付快速变形的Spyware，最有效的办法就是使用自动升级系统，同时Spyware清除工具在遭遇新型的Spyware时也需要具备自我调节能力。

尽管IT专家采用各种办法来对付Spyware，但这些不受欢迎的程序仍然对用户网络和数据安全构成了巨大威胁。Spyware清除技术可以提高用户对抗入侵的能力，是保护业务正常运转的不可或缺的安全元素。（美国《Network World》供本报专稿）

[此贴子已经被作者于2004-11-22 13:12:48编辑过]

办公之星

老大做这么宏伟的工程很辛苦吧！感谢尽在不言中......

大家都很忙，能否把可用的反间谍软件链接单独贴出来？

谢谢。

DC.Direct

最近工作上忙些（又要写年终总结，还有个比价项目在进行。。。）

本来想这自己作个测试之类的事情，在发出来，但有懒了。。。平时泡坛泡灌了。。。真是懒了。

[此贴子已经被作者于2004-12-10 16:00:40编辑过]

lfspecter

间谍软件黑名单 -------------------------------------------------------------------------------- 间谍软件／广告软件的列表每天都在加长，本文列出了最为常见的六种。 CoolWebSearch 别名：CWS 动作：CWS有超过36种变种，新的变种几乎每周都会出现。典型情况下，CWS会禁止用户访问知名的搜索引擎，并将搜索重定向到coolwebsearch.com或其他无名搜索站点上。如果输入的网址不正确或不完整，用户访问将被重定向到成人网站或地下搜索站点。它会在浏览器的收藏夹菜单中添加链接——通常是一些色情网站。它还会弹出广告条（同样是色情网站链接），并将浏览器的起始页更改为adulthyperlinks.com或是充斥着广告的目录、成人网站等。 安全问题：CWS的程序可通过位于俄罗斯境内的服务器进行更新。某些变种将CWS的服务器添加至IE的信任站点列表中，这使得程序代码（不仅仅限于CWS代码）未经用户许可就能够安装和更改。还有一些变种会收集个人可识别信息，并传回CWS服务器。 其他问题：CWS会严重影响受感染计算机的性能。应用软件（尤其是IE）会停止响应，乃至崩溃。IE的性能明显减慢，尤其是页面滚动。微软技术支持报告显示，CWS还可造成计算机锁定、崩溃、不断重启等现象。 传播方法：已知有超过1000个域是CWS的会员。会员按跳转／点击到coolwebsearch.com的次数接受支付。访问任何一个会员站点，用户都可能由于不小心点击弹出窗口或其他形式的广告而安装CWS软件。CWS在用户未知／未经用户许可的情况下自行安装，明显是利用了未安装补丁程序的IE所具有的安全漏洞。 Xupiter 别名：OrbitExplorer(Xupiter的最新变种) 动作：Xupiter会弹出广告窗口，更改默认首页，将错输的或不完整的网址重定向至会员站点，将搜索请求重定向至无名搜索站点，并将Xupiter链接添加到收藏夹中。任何恢复浏览器初始设置或从收藏夹中删除Xupiter链接的尝试，Xupiter都会加以禁止。 安全问题：Xupiter的隐私保护政策中声明Xupiter或其合作伙伴有可能通过自动更新来分发修补程序、更新和升级。“用户”还被告知，Xupiter和其他应用程序有可能发生冲突，Xupiter将确定冲突应用程序的属性，这样公司可以努力解决冲突。Xupiter的某些版本会下载其他程序（例如赌博游戏）到计算机上。 其他问题：据微软的技术支持代表说，Xupiter在Windows XP上会制造出一些奇怪的效果，使用户无法打开受感染计算机上的目录结构（例如“我的电脑”）。 传播方法：Xupiter通过IE工具栏程序安装。某些用户声称，工具栏未经过许可就安装在未打补丁的IE上。工具栏的下载可能是通过网站，也可能是通过带“Free Christian Toolbar”的垃圾邮件或者弹出式阻挡程序，还可能是通过弹出式广告中的链接。 Gator Advertising Information Network（GAIN） 别名：Gator 动作：Gator会在Web页面上叠放广告，跟踪用户访问了哪些网站，发送用户感兴趣的产品和服务信息，并监视用户对Gator广告的响应动作。这些信息将被传送给广告商。 安全问题：根据其隐私保护政策所述，Gator会传输计算机上的系统设置和配置信息（计算机上安装了哪些软件等）。同时，用户还需在网页表单中输入名字、国家、城市、邮政编码等信息，以及“非个人可鉴别信息”（例如信用卡号的前四位数字，通过这四位数字可鉴别开户银行，但不能鉴别持卡人）。Gator还会自动安装或更新其他软件组件。 其他问题：Gator的发布者Claria坚称Gator并非间谍软件，并因此数次卷入诉讼。用户报告显示，装有Gator的计算机有性能减慢或软件崩溃现象。 传播方法：Gator Advertising Information Network提供有6种包含Gator的应用程序，例如桌面天气预报程序、日历程序、计算机时钟同步程序、Gator电子钱包、网络安全报警等。有意思的是，Gator如此描述其中的网络安全报警功能：通过监视对IE安全设置的未经授权的篡改，帮助保护浏览器的安全性；同时，通过同期删除浏览历史记录，帮助保护隐私。 Live Online Portal（LOP） 别名：C2 动作：该系列的间谍软件程序会将用户默认的主页和搜索页设置为lop.com或200个LOP会员网站之一。还会恢复用户试图更改的起始页和搜索页，在桌面和收藏夹中添加广告网站的链接，并添加一个名为“Accessories”的新的IE工具栏，其中包含更多的广告链接。 安全问题：LOP会从服务器下载二进制代码并执行。 其他问题：整体性能降低。如果LOP要执行动作时计算机未联机，那就可能出现频繁的拨号连接请求。用户拒绝这些请求后，计算机可能停止响应几分钟。 传播方法：LOP最为臭名昭著的安装方法是，循环弹出带有MP3搜索引擎和下载工具的广告。一旦用户错误地或者不耐烦地点击，机器就被感染。LOP的另一种传播途径是与各种免费软件一起打包为合法的音乐／软件下载搜索工具。 Cydoor 别名：无 动作：Cydoor产生大量的弹出和非弹出广告。 安全问题：该软件的近期版本未发现有安全问题。程序与主机的连接似乎仅限于更新广告缓存，而不更新程序代码。即使有用户信息被捕捉，信息量也很小。它最近的一个版本几乎已不能被算做是间谍软件。 其他问题：用户无须在线即可看到Cydoor的广告。程序从计算机的缓存中抽取广告显示。每次联机时，缓存进行更新。据反间谍软件厂商PestPatrol报告，有大量用户抱怨Cydoor会在Windows XP上导致系统错误。 传播方法：Cydoor作为点对点程序、免费游戏软件和其他应用程序的一个组件而广泛发布，没有单独的下载。 Look2Me 别名：AllAboutSearch.com 动作：Look2Me主要是显示客户的弹出广告，广告每隔一分钟出现一次。它还会在桌面上安装快捷方式，并更改浏览器设置。一些机器被感染的用户报告说快捷方式所执行的应用程序是未经许可自动安装的。但在打过补丁的Windows 2000和XP系统上对Look2Me进行测试并未发现任何自行安装程序的功能。 安全问题：Look2Me会监视用户访问过哪些网站，然后将此信息提交到服务器。Look2Me自动更新其代码，在更新过程中，程序组件的运行会反复无常。 其他问题：除了用户被弹出广告骚扰，未发现有明显的性能问题。IE的运行可能会减慢。由于紧密集成在IE中，Look2Me不会显示为正在运行的进程或应用程序，使得对其活动的监控十分困难。 （计算机世界报 第42期 B13）