安全入門：灰色軟件的癥狀與防范方法

小　清

隨著病毒、蠕蟲、木馬、后門和混合威脅的泛濫，當(dāng)前針對(duì)新漏洞的攻擊產(chǎn)生速度比以前要快得多，而社會(huì)工程(social engi-neenng)陷阱也成為新型攻擊的一大重點(diǎn)。帶有社會(huì)工程陷阱元素的攻擊包括間諜軟件、網(wǎng)絡(luò)欺詐、基于郵件的攻擊和惡意Web站點(diǎn)等。這些攻擊往往偽裝成合法應(yīng)用程序和郵件信息，欺騙用戶暴露敏感信息、下載和安裝惡意程序，傳統(tǒng)的安全設(shè)備很難加以阻擋，往往需要先進(jìn)的檢測(cè)和安全技術(shù)。本文著重介紹灰色軟件的特征和防護(hù)方法。

一、什么是灰色軟件

灰色軟件是一個(gè)概括性詞匯，它是指安裝在計(jì)算機(jī)上跟蹤或向某目標(biāo)匯報(bào)特定信息的一類軟件。這些軟件通常是在沒有得到允許的情況下安裝和執(zhí)行的。很多灰色軟件是在需要下載和運(yùn)行應(yīng)用時(shí)，就能悄然地完成工作，比如跟蹤計(jì)算機(jī)使用、竊取隱私等。在大量的郵件病毒成為每月新聞?lì)^條的時(shí)候，用戶可能會(huì)意識(shí)到如果打開不確定的郵件會(huì)帶來什么風(fēng)險(xiǎn)。但是對(duì)于灰色軟件，用戶根本就不需要打開附件或執(zhí)行被感染的程序，僅僅訪問使用該技術(shù)的網(wǎng)站，就會(huì)變成灰色軟件的犧牲品。很多灰色軟件只產(chǎn)生垃圾信息，比如說彈出式窗口。誠然，在“無害”的灰色軟件和盜取信用卡賬號(hào)、密碼和身份證號(hào)這些有價(jià)值信息的攻擊之間，還是有著明確的區(qū)分標(biāo)準(zhǔn)的。

灰色軟件常常來源于以下行為：

(1)下載共享軟件、免費(fèi)軟件或其他形式共享文件；

(2)打開被感染過的郵件；

(3)點(diǎn)擊彈出廣告；

(4)訪問不負(fù)責(zé)任或欺騙類網(wǎng)站；

(5)安裝木馬程序。

灰色軟件不一定是惡意軟件。很多灰色軟件的最終目標(biāo)是跟蹤網(wǎng)站訪問者來獲得搜索結(jié)果，以達(dá)到某個(gè)商業(yè)目的。灰色軟件的典型癥狀是系統(tǒng)緩慢、彈出廣告、主頁定向到別的網(wǎng)站等，從而造成騷擾。不過，黑客常會(huì)把灰色軟件技術(shù)用作其他目的，例如利用瀏覽器來加載和運(yùn)行某些程序。這些程序可以公開訪問系統(tǒng)、收集信息、跟蹤鍵盤輸入、修改設(shè)置，或者制造某些破壞。

灰色軟件大體可以分為以下幾類：

(1)廣告軟件

廣告軟件通常是嵌入到用戶免費(fèi)下載和安裝的軟件中。安裝以后會(huì)不時(shí)地彈出瀏覽器窗口來傳播廣告，干擾用戶正常使用。

(2)間諜軟件

間諜軟件通常嵌入在免費(fèi)軟件中。它可以跟蹤和分析用戶的行為，比如說用戶瀏覽網(wǎng)頁的習(xí)慣。跟蹤信息會(huì)返回到編寫人員的網(wǎng)站，在那里進(jìn)行記錄和分析。它會(huì)引起計(jì)算機(jī)性能的改變。

(3)撥號(hào)軟件

撥號(hào)軟件是控制計(jì)算機(jī)的Modem的灰色軟件。這些程序通常是撥打長途電話或者呼叫昂貴的電話號(hào)碼來為竊取者創(chuàng)收。

(4)玩笑軟件

玩笑軟件修改系統(tǒng)的設(shè)置，但是并不摧毀系統(tǒng)。例如將系統(tǒng)鼠標(biāo)或者Windows背景圖片加以修改，還有些游戲軟件通常是開些小玩笑或者惡作劇。

(5)點(diǎn)對(duì)點(diǎn)軟件

點(diǎn)對(duì)點(diǎn)軟件(P2P)可以完成文件交換。用它完成商業(yè)目標(biāo)也許是合法的，而用它來交換非法音樂、電影和其他文件的時(shí)候，往往是非法的。

(6)鍵盤記錄軟件

鍵盤記錄也許是最危險(xiǎn)的灰色軟件之一。這些程序可以捕捉鍵盤的輸入，由此獲得用戶名和密碼、信用卡號(hào)，用于E-mail、聊天、即時(shí)通訊等。

(7)劫持者軟件

它可以修改瀏覽器的一些設(shè)置，來改變用戶的愛好，如首頁、收藏夾或菜單等。甚至可以修改DNS設(shè)置，將DNS重定向到惡意DNS服務(wù)器。

(8)插件

插件向已有程序添加代碼或新功能，來控制、記錄和發(fā)送瀏覽的喜好或其他信息，發(fā)送給外部地址。

(9)網(wǎng)絡(luò)管理軟件

它是出于惡意目的設(shè)計(jì)的灰色軟件，可以改變網(wǎng)絡(luò)設(shè)置，毀壞網(wǎng)絡(luò)安全。或者造成其他網(wǎng)絡(luò)破壞。遠(yuǎn)程管理工具是讓外部用戶來遠(yuǎn)程控制，改變和監(jiān)視網(wǎng)絡(luò)中的計(jì)算機(jī)。

(10)BHO

BHO是作為普通軟件的DLL文件安裝的，可以控制Internet Expoorer的行為。并不是所有的BHO都是惡意的，但是它有跟蹤瀏覽偏好和收集其他信息的功能。

(11)工具欄

它可以修改計(jì)算機(jī)的工具欄特性，可以監(jiān)視瀏覽網(wǎng)頁的習(xí)慣，發(fā)送信息給開發(fā)者，或者改變主機(jī)的功能。

(12)下載灰色軟件

它在用戶不知情的情況下偷偷地下載和安裝其他的軟件。這些程序通常是在啟動(dòng)過程中運(yùn)行，可以安裝廣告軟件，撥號(hào)軟件和其他惡意代碼。

二、灰色軟件的癥狀

灰色軟件的癥狀表現(xiàn)為以下幾個(gè)方面：

(1)性能下降。通常情況下，灰色軟件的進(jìn)程是用戶所不知道的。它占用很多CPU和內(nèi)存的資源，導(dǎo)致速度下降。打開任務(wù)管理器查看消耗資源的進(jìn)程，一般就可以識(shí)別出灰色軟件。

(2)即使沒有執(zhí)行任何在線程序，Cable或DSL的Modem收發(fā)數(shù)據(jù)的燈，或者任務(wù)欄中網(wǎng)卡或Modem的圖標(biāo)，還在不停地閃，它表示數(shù)據(jù)正在傳輸。

(3)在沒有連接Internet或沒有運(yùn)行瀏覽器的情況下，計(jì)算機(jī)仍會(huì)彈出信息窗口和廣告。

(4)瀏覽器的主頁在沒有察覺的情況下，從缺省變成了其他頁面，修改也不起作用。

(5)Internet Explorer的搜索引擎被修改，搜索結(jié)果總是指向一個(gè)未指定的搜索網(wǎng)址。

(6)Web瀏覽器的收藏夾被修改，不能將其改回去，或者不能刪除新增加的條目。

(7)搜索或者Web瀏覽器的工具欄被修改，新選項(xiàng)被安裝，而且這些工具欄不能被刪除。

(8)防病毒程序、反灰色軟件程序被強(qiáng)制停止工作，流行安全軟件被關(guān)閉。應(yīng)用程序運(yùn)行時(shí)警告丟失文件，即使把文件覆蓋回去也不起作用。在安裝前可以關(guān)閉流行安全軟件。

三、灰色軟件的防護(hù)

(1)用戶教育

用戶教育最基本的方法是讓用戶了解灰色軟件的特點(diǎn)和危害性，禁止下載和安裝來路不明的軟件。或在允許下載和安裝未知的程序之前，仔細(xì)閱讀”最終用戶許可證”。有惡意傾向的灰色軟件和木馬程序通常試圖隱藏起來，防止被清除或隔離。減少感染機(jī)會(huì)的另一方法是提高Web瀏覽器的安全級(jí)別，配置像Outoook這樣的郵件收發(fā)程序?yàn)椴蛔詣?dòng)下載HTML郵件中的圖片或其他內(nèi)容，關(guān)閉自動(dòng)預(yù)覽，對(duì)所有的操作系統(tǒng)和應(yīng)用軟件都安裝最新的補(bǔ)丁等。

(2)安裝反間諜軟件程序

新型防灰色軟件和計(jì)算機(jī)上的防病毒軟件的功能類似，它們可以依據(jù)灰色軟件的特征值數(shù)量和特征庫檢測(cè)、刪除和凍結(jié)灰色軟件。反灰色軟件程序又分基于主機(jī)的客戶端軟件和基于網(wǎng)絡(luò)的反灰色軟件兩類?；谥鳈C(jī)的客戶端軟件的成本在于安裝和維護(hù)，包括在每臺(tái)計(jì)算機(jī)上安裝、定時(shí)升級(jí)軟件和病毒庫。由于采用許可證方式，整個(gè)企業(yè)部署的成本較高。

另外，很多木馬和灰色軟件在安裝前會(huì)主動(dòng)檢測(cè)是否有這些防護(hù)軟件，如果有的話就關(guān)閉掉，這樣就可以避免被檢測(cè)到。所以存在一定風(fēng)險(xiǎn)。

基于網(wǎng)絡(luò)的反灰色軟件是在企業(yè)網(wǎng)絡(luò)連接到Internet的邊界平臺(tái)上，部署防灰色軟件產(chǎn)品。在灰色軟件進(jìn)入網(wǎng)絡(luò)前加以識(shí)別和清除，降低了安裝、維護(hù)和保持更新的成本。網(wǎng)關(guān)得到升級(jí)，所有的防火墻后的計(jì)算機(jī)會(huì)自動(dòng)地得到保護(hù)。