简介
电脑病毒指的是:自身具有、或使其它程式具有破坏系统功能、危害使用者资料或其它恶意行为的一类程式。这类程式往往影响电脑使用,并能够自我复製。正规软体指的是:为方便使用者使用电脑工作、娱乐而开发,面向社会公开发布的软体。“流氓软体”介于两者之间,同时具备正常功能(下载、媒体播放等)和恶意行为(弹广告、开后门),给使用者带来实质危害。这些软体也可能被称为恶意广告软体(adware)、间谍软体(spyware)、恶意共享软体(maliciousshareware)。与病毒或者蠕虫不同,这些软体很多不是小团体或者个人秘密地编写和散播,反而有很多知名企业和团体涉嫌此类软体。其中以雅虎旗下的3721最为知名和普遍,也比较典型。该软体採用多种技术手段强行安装和对抗移除。很多使用者投诉是在不知情的情况下遭到安装,而其多种反卸载和自动恢复技术使得很多软体专业人员也感到难以对付,以至于其卸载成为大陆网站上的常常被讨论和咨询的技术问题。
流氓软体流氓软体的新发展:
新的流氓软体可能并没有捆绑外挂程式
新的流氓行为包括故意妨碍其他同类软体的使用
新的流氓行为包括把自己的流氓行为说成是BUG,以来掩盖
新的流氓都精通心理学,把使用者的心理研究的透透彻彻,并利用这种心理来做利于自己的事情
官方定义及特点
恶意软体(流氓软体)定义:是指在未明确提示使用者或未经使用者许可的情况下,在使用者电脑或其他终端上安装运行,侵犯使用者合法权益的软体,但已被我国现有法律法规规定的电脑病毒除外。它具有如下特点:
强製安装:指在未明确提示使用者或未经使用者许可的情况下,在使用者电脑或其他终端上安装软体的行为。
难以卸载:指未提供通用的卸载方式,或在不受其他软体影响、人为破坏的情况下,卸载后仍活动程式的行为。
流氓软体行为流览器劫持:指未经使用者许可,修改使用者流览器或其他相关设定,迫使使用者访问特定网站或导致使用者无法正常上网的行为。
广告弹出:指未明确提示使用者或未经使用者许可的情况下,利用安装在使用者电脑或其他终端上的软体弹出广告的行为。
恶意收集使用者信息:指未明确提示使用者或未经使用者许可,恶意收集使用者信息的行为。
恶意卸载:指未明确提示使用者、未经使用者许可,或误导、欺骗使用者卸载非恶意软体的行为。
恶意捆绑:指在软体中捆绑已被认定为恶意软体的行为。
其他侵犯使用者知情权、选择权的恶意行为。
背景
最早提出“流氓软体”概念的是国内最大的防毒软体厂商瑞星公司。其一位负责人称,“流氓软体”的最大商业用途就是散布广告,并形成了整条灰色产业链:企业为增加注册使用者、提高访问量或推销产品,向网路广告公司购买广告视窗流量,网路广告公司用自己控製的广告外挂程式程式,在使用者电脑中强行弹出广告视窗。而为了让广告外挂程式神不知鬼不觉地进入使用者电脑,大多数时候广告公司是通过联系热门免费共享软体的作者,以每次几分钱的价格把广告程式通过外挂程式的形式捆绑到免费共享软体中,使用者在下载安装这些免费共享软体时广告程式也就趁虚而入。
据称,网路广告的计费是按弹出次数进行的,使用“流氓软体”可以在使用者根本没有授权的情况下随意弹出广告,提高广告弹出次数,籍此提高广告收益。一个“装机量”大的广告外挂程式公司,凭“流氓软体”月收入在百万元以上。
分类
根据不同的特征和危害,困扰广大电脑使用者的流氓软体主要有如下几类:
1、广告软体(Adware)
定义:广告软体是指未经使用者允许,下载并安装在使用者电脑上;或与其他软体捆绑,通过弹出式广告等形式牟取商业利益的程式。
危害:此类软体往往会强製安装并无法卸载;在后台收集使用者信息牟利,危及使用者隐私;频繁弹出广告,消耗系统资源,使其运行变慢等。
例如:使用者安装了某下载软体后,会一直弹出带有广告内容的视窗,干扰正常使用。还有一些软体安装后,会在IE流览器的工具列位置增加与其功能不相干的广告图示,普通使用者很难清除。
2、间谍软体(Spyware)
定义:间谍软体是一种能够在使用者不知情的情况下,在其电脑上安装后门、收集使用者信息的软体。
危害:使用者的隐私资料和重要信息会被“后门程式”捕获,并被传送给黑客、商业公司等。这些“后门程式”甚至能使使用者的电脑被远程操纵,组成庞大的“僵尸网路”,这是目前网路安全的重要隐患之一。
例如:某些软体会获取使用者的软硬体配置,并传送出去用于商业目的。
3、流览器劫持
定义:流览器劫持是一种恶意程式,通过流览器外挂程式、BHO(流览器辅助对象)、WinsockLSP等形式对使用者的流览器进行篡改,使使用者的流览器配置不正常,被强行引导到商业网站。
危害:使用者在流览网站时会被强行安装此类外挂程式,普通使用者根本无法将其卸载,被劫持后,使用者只要上网就会被强行引导到其指定的网站,严重影响正常上网流览。
例如:一些不良站点会频繁弹出安装视窗,迫使使用者安装某流览器外挂程式,甚至根本不征求使用者意见,利用系统漏洞在后台强製安装到使用者电脑中。这种外挂程式还採用了不规範的软体编写技术(此技术通常被病毒使用)来逃避使用者卸载,往往会造成流览器错误、系统异常重啓等。
4、行为记录软体(TrackWare)
定义:行为记录软体是指未经使用者许可,窃取并分析使用者隐私资料,记录使用者电脑使用习惯、网路流览习惯等个人行为的软体。
危害:危及使用者隐私,可能被黑客利用来进行网路诈欺。
例如:一些软体会在后台记录使用者访问过的网站并加以分析,有的甚至会传送给专门的商业公司或机构,此类机构会据此窥测使用者的爱好,并进行相应的广告推广或商业活动。
5、恶意共享软体(maliciousshareware)
定义:恶意共享软体是指某些共享软体为了获取利益,採用诱骗手段、试用陷阱等方式强迫使用者注册,或在软体体内捆绑各类恶意外挂程式,未经允许即将其安装到使用者机器裏。
危害:使用“试用陷阱”强迫使用者进行注册,否则可能会丢失个人资料等资料。软体集成的外挂程式可能会造成使用者流览器被劫持、隐私被窃取等。
例如:使用者安装某款媒体播放软体后,会被强迫安装与播放功能毫不相干的软体(搜寻外挂程式、下载软体)而不给出明确提示;并且使用者卸载播放器软体时不会自动卸载这些附加安装的软体。
又比如某加密软体,试用期过后所有被加密的资料都会丢失,只有交费购买该软体才能找回丢失的资料。
6、其它
随着网路的发展,“流氓软体”的分类也越来越细,一些新种类的流氓软体在不断出现,分类标準必然会随之调整。
律师说法
反流氓软体联盟支援律师黄锦深在其部落格上说,流氓软体的行径一旦形成犯罪,不容置疑应按刑法相关规定进行处置即可。但就其民事责任而言,我国目前在立法上仍是空白。黄认为,流氓软体佔用使用者电脑记忆体、使CPU运行速度下降、佔用硬碟容量,已侵犯了使用者的财产权。但侵犯财产权造成的损失怎麽计算是个难题。
《中华人民共和国消费者权益保护法》第七条规定了消费者财产不受损害的权利,第八条规定了消费者的知情权,第九条规定了消费者的选择权,第十条规定了消费者的公平交易权,第十一条规定了赔偿权。如果电脑使用者因使用流氓软体而遭受财产损失,显然可以适用第七、第十条;如果流氓软体是在电脑使用者不知情的情况下强行安装,或劫持了流览器,则可以适用第八、第九、第十条。黄锦深称,消法虽然提供了一定的法律依据,但以上法律规定并不是明确针对流氓软体而设。因此,社会期待尽快出台法规,还这一巨大市场的一片清静。
治理行动
北京市网路行业协会于2005年6月召开了中国大陆首次防治流氓软体的研讨会。新浪、搜狐、网易、瑞星、江民等16家企业会后起草了《软体产品行为安全自律公约》。同时,国家已开始把对流氓软体的检测纳入到防毒软体的检测标準之中。用一些软体如最佳化大师和一些可以做系统最佳化的软体来清除,一般不要装来历不明的软体,不要用小软体,除非你知道它对你的系统没有影响危害。使用一些流览器的外挂程式时要注意。对于activex控制项不要随便装了。
九大流氓软体及卸载方法整理
第一名:
3721上网助手所属公司----北京三七二一科技有限公司
厂商网址---http://www.3721.com/
存在问题---
1、强製安装
2、流览器劫持(增加使用者不需要的按钮、ie地址选单项中增加非法内容)
3、干扰其他软体运行
4、无法彻底卸载卸载方法:请用附属档案程式卸载,附属档案已用卡巴斯基扫描过。
第二名:
淘宝网所属公司:阿裏巴巴厂商
网址---http://www.taobao.com/
存在问题---强行弹出过多广告
卸载方法---卸载方法有四,最简单的如在MyIE或者Maxthon裏面的“弹出视窗过滤”和“网页内容过滤”裏面同时增加“unionsky、allyes、taobao”等过滤条目!更直接的方法是使用用世界之窗流览器,不用任何设定,默认即可禁止!对于没有过滤功能的IE,
如果系统是XP/2003,请在“开始,运行”中输入:%SystemRoot\system32\notepad.exeC:\WINDOWS\system32\drivers\etc\hosts
如果系统是98/me,请在“开始,运行”中输入:%SystemRoot%\system32\notepad.exeC:\WINDOWS\hosts或点击这裏下载自动运行命令,解压后选择合适的bat档案双击运行,然后,将下列语句增加到最后一行
第三名:
ebay易趣所属公司----ebayinc.
厂商网址---http://www.ebay.com.cn/
存在问题---
1、强製安装
2、流览器劫持(自动在ie中增加按钮和选单)
3、无法卸载卸载方法:对易趣广告的禁止可以参考上面对淘宝网广告的方法。但移除易趣外挂程式就比较繁琐了。首先,易趣外挂程式没有提供卸载工具。第二,易趣外挂程式不能通过如windows最佳化大师这样的软体下载,因为系统档案已经被替换到了不能识别的版本而失败。在2005年7月21日更新的暴风影音5.07正式版中,包括了针对流氓软体的三个清除小程式:分别是易趣清除程式UebayFOR暴风和酷狗.rar,可以清除易趣广告和几个广告连结。其次还有暴风去广告安装外挂程式以及暴风去广告安装外挂可选组件版程式。运行这些程式附属档案,不但能够自动去掉一搜和下载加速器的选项,还能安装后自动清除易趣广告。而且这一版的软体目前已经可以手动不安装易趣了。
第四名:
dudu下载加速器所属公司----千橡公司厂商
网址----ddd.dudu.com
存在问题---
1、强製安装
2、诱导使用者安装广告程式
3、无法彻底移除卸载方法:方法一:手动卸载(有一定风险,先做好注册表等备份)1.首先到增加与移除程式裏卸载“dudu”。2.运行注册表编辑器(开始、运行、regedit、编辑、查找)查找与“dudu、ddd6c、dddsetup、dddupdate、DuDuAcc”等相关相移除。3.开始、搜寻、搜寻电脑中的“dudu、ddd6c、dddupdate、dddsetup、DuDuAcc”等相关项移除。4.开始、设定、控制台、性能和维护、任务计画裏面把DUDU的任务删掉5.手动查找系统中与“dudu、ddd6c、dddupdate、dddsetup、DuDuAcc”等相关相移除。6.重啓电脑方法二:自动卸载(风险低,建议使用)在电脑的“programfiles”目录,会有一个叫“desktopmedia”目录,运行其中的uninstall.exe程式,即可。
第五名:
中文上网所属公司----中国网际网路络信息中心
厂商网址---http://www.cnnic.net.cn/
存在问题---
1、强製安装
2、无法彻底卸载卸载方法--进入“控制台”的“增加/移除程式”选项,找到“中文上网官方版软体”,卸载。根据提示,选择要卸载的“中文域名IE客户端软体”和“中文域名邮件客户端软体”,输入“确认码”,进入下一步确认是否保留某些功能,确认保留或不保留后继续卸载,卸载完成会显示“中文上网官方版软体卸载成功!”的提示。此时别高兴,因为这样和没有卸载差不多,否则每次移除后,一开启某个网页,就又自动安装上了,因此接下来还需要以下步骤:1、移除C:\ProgramFiles\下的CNNIC整个目录。2、“开始选单”>>“运行”>>输入“regedit”确定回车,查找路径:HKEY_CURRENT_USER\Software\CNNIC和HKEY_LOCAL_MACHINE\SOFTWARE\CNNIC,将其全部移除才算了结。
第六名:
青娱乐聊天软体(qyule)所属公司----青娱乐锋力科技青鸟科联
厂商网址---http://www.qyule.com/
存在问题---强製安装
卸载方法---青娱乐的关键可能是收费和部分名过其实的内容,有些网友指出,在花费开通后得到的内容可能会和名称不符,而青娱乐也会和其它软体捆绑而不请自来。清除青娱乐的方法并不复杂,但对已经交费的会员可能会涉及到申请停止服务的问题。退订前最好看清规则再操作,尤其是简讯退订需要避免字母O还是数位0这样的误会。至于卸载,你可以使用首先在Windows任务管理器中关掉该进程,之后在本机中查找档案名称为qyule.exe的青娱乐原程式,找到以后直接移除就可以了。
第七名:
很棒小秘书所属公司----很棒信息服务有限公司
厂商网址---http://www.henbang.net/
存在问题---
1、强製安装
2、无法彻底卸载卸载方法---1.按照软体中的说明移除软体(点击C:\Widnows\System32\目录下的uninstall.exe);2.移除掉注册表中相关的自啓动内容;3.然后进入C:\Widnows\System32\目录,移除winup.exe、hap.dll、winhtp.dll和hda.ini档案(如果有henbangtemp这个资料夹的话,也删掉);4.检查一次,把和与之相关的资料夹也删掉;5.开启IE流览器,依次点击:“工具,载入管理项”,然后将涉及到winhtp.dll的载入项禁用。如果你是xpsp2版,可以按照以下方法关闭它:1.首先开启ie,然后选择“internet选项”;2.选择“程式”页,点击“管理载入项”;3.选中“UrlMonitorClass”,选择禁用此项;4.首先在增加/移除程式中找到HAP,卸载之。然后使用反毒软体或者木马专杀软体全面扫描C糟,这些软体会多多少少发现一些这个广告程式所用到的档案。和这个软体相关的档案有:C:\WINDOWS\system32\winup.exeC:\WINDOWS\system32\winhtp.dllC:\WINDOWS\SoftwareDistribution\Download\XXXX\update\spcustom.dllc:\windows\system32\uninstall.exec:\windows\system32\henbagkiller.exeC:\ProgramFiles\henbang资料夹hap.dll一般反毒软体病不能完全查杀这个程式,于是就需要我们在硬碟,档案内容和注册表中手动移除这些档案,并且记住移除工作在安全模式下进行,这样才能查杀干凈。
第八名:
百度搜霸、百度超级搜霸所属公司----百度
厂商网址---http://www.baidu.com/
存在问题---强製安装
卸载方法----移除百度搜霸的方法是,在IE流览器的选单中,依次进入“工具,Internet选项,常规,Internet临时档案,设定,查看对象”,然后找到对应的外挂程式名称,用滑鼠选中后移除即可。第九名:一搜工具条所属公司----雅虎厂商网址----toolbar.yisou.com存在问题---强製安装卸载方法----一搜工具条移除比较简单。单击一搜徽标开启下拉选单。选择“帮助,卸载选项”。如果无法访问工具条上的一搜徽标,也可以使用Windows控制台中的增加/移除程式卸载工具条:单击Windows“开始”按钮,然后选择设定。开启控制台资料夹,然后双击增加/移除程式条目。流览程式列表,选取“一搜工具条”。单击增加/移除按钮。
第九名:
网路猪、划词搜寻所属公司----中搜线上
厂商网址----pig.zhongsou.com
存在问题---
1、强製安装
2、无法彻底卸载卸载方法:移除网路猪目前有两种方法,1.在系统进程中结束movesearch.exe,然后在C:\ProgramFiles中进入wsearch资料夹,然后执行其中的卸载程式。最后返回上层资料夹,把wsearch资料夹移除。2.手动清除,就是直接在中止movesearch程式后,直接移除ProgramFiles下的wsearch资料夹及其下档案,然后在注册表中清除与movesearch有关的信息。(开启注册表,搜寻“movesearch”(可按F3)统统移除即可)移除划词搜寻比较麻烦,因为即便先卸载划词搜寻再移除wsearch资料夹也不能彻底将其清除,目前比较管用的方法是使用新版的超级兔子专业卸载功能。(360粉碎)
