什么是灰色軟件
隨著病毒、蠕蟲��、木馬���、后門和混合威脅的泛濫,當前針對新漏洞的攻擊產生速度比以前要快得多,而社會工程(social engineering)陷阱也成為新型攻擊的一大重點。帶有社會工程陷阱元素的攻擊包括間諜軟件����、網絡欺詐�、基于郵件的攻擊和惡意Web站點等�����。這些攻擊往往偽裝為合法應用程序和郵件信息�����,設計為欺騙用戶暴露敏感信息、下載和安裝惡意程序,傳統的安全設備很難加以阻擋��,往往需要先進的檢測和安全技術���。本文著重介紹灰色軟件的特征和防護方法����。
一、什么是灰色軟件
灰色軟件是一個概括性詞匯,它是指安裝在計算機上跟蹤或向某目標匯報特定信息的一類軟件�。這些軟件通常是在沒有得到允許的情況
下安裝和執行的�。很多灰色軟件是在需要下載和運行應用時����,就能悄然地完成工作,比如跟蹤計算機使用,竊取隱私等�。在大量的郵件病毒成為每月新聞頭條的時候�����,用戶可能會意識到如果打開不確定的郵件會帶來什么風險。但是對于灰色軟件��,用戶根本就不需要打開附件或執行被感染的程序�����,僅僅訪問使用該技術的網站���,就會變成灰色軟件的犧牲品。很多灰色軟件只產生垃圾信息�,比如說彈出式窗口���。誠然���,在"無害"的灰色軟件和盜取信用卡賬號�����、密碼和身份證號這些有價值信息的攻擊之間,還是有著明確的區分標準的����。
灰色軟件常常來源于以下行為:(1)下載共享軟件�,免費軟件或其他形式共享文件�;(2)打開被感染過的郵件;(3)點擊彈出廣告�����;(4)訪問不負責任或欺騙網站�����;(5)安裝木馬程序�����。
灰色軟件不一定是惡意軟件。很多灰色軟件的最終目標是跟蹤網站訪問者來獲得搜索結果�����,以達到某個商業目的��。灰色軟件的典型癥狀是系統緩慢���、彈出廣告、主頁定向到別的網站等���,從而造成騷擾。不過����,黑客常會把灰色軟件技術用作其他目的���,例如利用瀏覽器來加載和運行某些程序�����。這些程序可以公開訪問系統�,收集信息�����,跟蹤鍵盤輸入���,修改設置�,或者制造某些破壞�����。
灰色軟件大體可以分為以下幾類:
(1)廣告軟件
廣告軟件通常是嵌入到用戶免費下載和安裝的軟件中��。安裝以后會不時地彈出瀏覽器窗口來傳播廣告, 干擾用戶正常使用���。
(2)間諜軟件
間諜軟件通常嵌入在免費軟件中�。它可以跟蹤和分析用戶的行為,比如說用戶的瀏覽網頁的習慣。跟蹤信息會返回到編寫人員的網站��,在那里進行記錄和分析����。它會引起計算機性能的改變。
(3)撥號軟件
撥號軟件是控制計算機的Modem的灰色軟件。這些程序通常是撥打長途電話或者呼叫昂貴的電話號碼來為竊取者創收��。
(4)玩笑軟件
玩笑軟件修改系統的設置���,但是并不摧毀系統�。例如將系統鼠標或者Windows背景圖片加以修改,還有些游戲軟件通常是開些小玩笑或者惡作劇。
(5)點對點軟件
點對點軟件(P2P)可以完成文件交換��。用它完成商業目標也許是合法的����,而用它來交換非法音樂、電影和其他文件的時候,往往是非法的。
(6)鍵盤記錄軟件
鍵盤記錄也許是最危險的灰色軟件之一�����。這些程序可以捕捉鍵盤的輸入����,由此獲得用戶名和密碼、信用卡號,用于Email�����、聊天�、即時通訊等。
(7)劫持者軟件
它可以修改瀏覽器的一些設置,來改變用戶的愛好����,如首頁���、收藏夾或菜單等。甚至可以修改DNS設置����,將DNS重定向到惡意DNS服務器�。
(8)插件
插件向已有程序添加代碼或新功能���,來控制����、記錄和發送瀏覽的喜好或其他信息會,發送給外部地址����。
網絡管理軟件
(9)網絡管理軟件
它是出于惡意目的設計的灰色軟件�����,可以改變網絡設置��,毀壞網絡安全,或者造成其他網絡破壞。遠程管理工具是讓外部用戶來遠程控制,改變和監視網絡中的計算機�����。
(10)BHO
BHO是作為普通軟件的DLL文件安裝的���,可以控制Internet Explorer的行為���。并不是所有的BHO都是惡意的��,但是它有跟蹤瀏覽偏好和收集其他信息的功能����。
(11)工具欄
它可以修改計算機的工具欄特性�����,可以監視瀏覽網頁的習慣,發送信息給開發者��,或者改變主機的功能����。
(12)下載灰色軟件
它在用戶不知情的情況下偷偷地下載和安裝其他的軟件。這些程序通常是在啟動過程中運行����,可以安裝廣告軟件��,撥號軟件和其他惡意代碼。
二���、灰色軟件的癥狀
灰色軟件的癥狀表現為以下幾個方面:
(1)性能下降。通常情況下��,灰色軟件的進程是用戶所不知道的���。它占用很多CPU和內存的資源���,導致速度下降�����。打開任務管理器查看消耗資源的進程����,一般就可以識別出灰色軟件���。
(2)即使在沒有執行任何在線程序���,Cable或DSL的Modem的收發數據的燈��,或者任務欄中網卡或Modem的圖標,還在不停地閃,它表示數據正在傳輸。
(3)在沒有連接Internet�����,或沒有運行瀏覽器的情況下��,計算機仍會彈出信息窗口和廣告���。
(4)瀏覽器的主頁在沒有察覺的情況下�,從缺省變成了其他頁面����,修改也不起作用。
(5)Internet Explorer的搜索引擎被修改,搜索結果總是指向一個未指定的搜索網址。
(6)Web瀏覽器的收藏夾被修改����,不能將其改回去�,或者不能刪除新增加的條目。
(7)搜索或者Web瀏覽器的工具欄被修改�,新選項被安裝��,而且這些工具欄不能被刪除。
(8)防病毒程序����、反灰色軟件程序被強制停止工作��,流行安全軟件被關閉。應用程序運行時警告丟失文件���,即使把文件覆蓋回去也不起作用�。在安裝前可以關閉流行安全軟件。
三、灰色軟件的防護方法
1���、用戶教育
用戶教育最基本的方法是讓用戶了解灰色軟件的特點和危害性,禁止下載和安裝來路不明的軟件����;蛟谠试S下載和安裝未知的程序之前�����,仔細閱讀"最終用戶許可證"。有惡意傾向的灰色軟件和木馬程序通常試圖隱藏起來,防止被清除或隔離�。減少感染機會的另一方法是提高Web瀏覽器的安全級別�,配置象 Outlook這樣的郵件收發程序為不自動下載HTML郵件中的圖片或其他內容����,關閉自動預覽,對所有的操作系統和應用軟件都安裝最新的補丁等。
2��、安裝反間諜軟件程序
新型防灰色軟件和計算機上的防病毒軟件的功能類似��,它們可以依據灰色軟件的特征值數量和特征庫檢測���、刪除和凍結灰色軟件�。反灰色軟件程序又分基于主機的客戶端軟件和基于網絡的反灰色軟件兩類���������;谥鳈C的客戶端軟件的成本在于安裝和維護���,包括在每臺計算機上安裝��、定時升級軟件和病毒庫。由于采用許可證方式����,整個企業部署的成本較高���。
另外�����,很多木馬和灰色軟件在安裝前會主動檢測是否有這些防護軟件,如果有的話就關閉掉�,這樣就可以避免被檢測到�。所以存在一定風險�。
基于網絡的反灰色軟件是在企業網絡連接到Internet的邊界平臺上,部署防灰色軟件產品���。在灰色軟件進入網絡前加以識別和清除,降低了安裝���、維護和保持更新的成本。網關得到升級�,所有的防火墻后的計算機會自動地得到保護��。
隨著病毒、蠕蟲�����、木馬、后門和混合威脅的泛濫�����,當前針對新漏洞的攻擊產生速度比以前要快得多���,而社會工程(social engineering)陷阱也成為新型攻擊的一大重點�����。帶有社會工程陷阱元素的攻擊包括間諜軟件、網絡欺詐��、基于郵件的攻擊和惡意Web站點等�。這些攻擊往往偽裝為合法應用程序和郵件信息,設計為欺騙用戶暴露敏感信息�����、下載和安裝惡意程序�,傳統的安全設備很難加以阻擋,往往需要先進的檢測和安全技術�����。本文著重介紹灰色軟件的特征和防護方法����。
下安裝和執行的����。很多灰色軟件是在需要下載和運行應用時����,就能悄然地完成工作,比如跟蹤計算機使用�����,竊取隱私等�����。在大量的郵件病毒成為每月新聞頭條的時候,用戶可能會意識到如果打開不確定的郵件會帶來什么風險�。但是對于灰色軟件����,用戶根本就不需要打開附件或執行被感染的程序�,僅僅訪問使用該技術的網站,就會變成灰色軟件的犧牲品。很多灰色軟件只產生垃圾信息�����,比如說彈出式窗口����。誠然,在"無害"的灰色軟件和盜取信用卡賬號、密碼和身份證號這些有價值信息的攻擊之間�����,還是有著明確的區分標準的�。
灰色軟件常常來源于以下行為:(1)下載共享軟件,免費軟件或其他形式共享文件;(2)打開被感染過的郵件;(3)點擊彈出廣告��;(4)訪問不負責任或欺騙網站���;(5)安裝木馬程序�。
灰色軟件不一定是惡意軟件。很多灰色軟件的最終目標是跟蹤網站訪問者來獲得搜索結果,以達到某個商業目的。灰色軟件的典型癥狀是系統緩慢�����、彈出廣告�����、主頁定向到別的網站等�,從而造成騷擾��。不過�,黑客常會把灰色軟件技術用作其他目的�����,例如利用瀏覽器來加載和運行某些程序�。這些程序可以公開訪問系統�����,收集信息�,跟蹤鍵盤輸入���,修改設置����,或者制造某些破壞。
間諜軟件通常嵌入在免費軟件中���。它可以跟蹤和分析用戶的行為,比如說用戶的瀏覽網頁的習慣���。跟蹤信息會返回到編寫人員的網站,在那里進行記錄和分析�����。它會引起計算機性能的改變���。
網絡管理軟件
(9)網絡管理軟件
它是出于惡意目的設計的灰色軟件�����,可以改變網絡設置��,毀壞網絡安全�,或者造成其他網絡破壞�����。遠程管理工具是讓外部用戶來遠程控制�,改變和監視網絡中的計算機�����。
(10)BHO
BHO是作為普通軟件的DLL文件安裝的,可以控制Internet Explorer的行為。并不是所有的BHO都是惡意的��,但是它有跟蹤瀏覽偏好和收集其他信息的功能�。
(11)工具欄
它可以修改計算機的工具欄特性,可以監視瀏覽網頁的習慣,發送信息給開發者����,或者改變主機的功能�����。
(12)下載灰色軟件
它在用戶不知情的情況下偷偷地下載和安裝其他的軟件。這些程序通常是在啟動過程中運行,可以安裝廣告軟件�,撥號軟件和其他惡意代碼��。
二、灰色軟件的癥狀
灰色軟件的癥狀表現為以下幾個方面:
(1)性能下降。通常情況下�����,灰色軟件的進程是用戶所不知道的�。它占用很多CPU和內存的資源,導致速度下降。打開任務管理器查看消耗資源的進程,一般就可以識別出灰色軟件�����。
(2)即使在沒有執行任何在線程序����,Cable或DSL的Modem的收發數據的燈,或者任務欄中網卡或Modem的圖標,還在不停地閃�,它表示數據正在傳輸�����。
(3)在沒有連接Internet�,或沒有運行瀏覽器的情況下,計算機仍會彈出信息窗口和廣告����。
(4)瀏覽器的主頁在沒有察覺的情況下�����,從缺省變成了其他頁面,修改也不起作用�����。
(5)Internet Explorer的搜索引擎被修改,搜索結果總是指向一個未指定的搜索網址����。
(6)Web瀏覽器的收藏夾被修改�,不能將其改回去���,或者不能刪除新增加的條目�����。
(7)搜索或者Web瀏覽器的工具欄被修改�����,新選項被安裝,而且這些工具欄不能被刪除。
(8)防病毒程序�����、反灰色軟件程序被強制停止工作�����,流行安全軟件被關閉。應用程序運行時警告丟失文件�,即使把文件覆蓋回去也不起作用�����。在安裝前可以關閉流行安全軟件。
三���、灰色軟件的防護方法
1、用戶教育
用戶教育最基本的方法是讓用戶了解灰色軟件的特點和危害性���,禁止下載和安裝來路不明的軟件�;蛟谠试S下載和安裝未知的程序之前����,仔細閱讀"最終用戶許可證"��。有惡意傾向的灰色軟件和木馬程序通常試圖隱藏起來��,防止被清除或隔離。減少感染機會的另一方法是提高Web瀏覽器的安全級別��,配置象 Outlook這樣的郵件收發程序為不自動下載HTML郵件中的圖片或其他內容��,關閉自動預覽���,對所有的操作系統和應用軟件都安裝最新的補丁等�。
2�����、安裝反間諜軟件程序
新型防灰色軟件和計算機上的防病毒軟件的功能類似,它們可以依據灰色軟件的特征值數量和特征庫檢測、刪除和凍結灰色軟件����。反灰色軟件程序又分基于主機的客戶端軟件和基于網絡的反灰色軟件兩類��。基于主機的客戶端軟件的成本在于安裝和維護,包括在每臺計算機上安裝����、定時升級軟件和病毒庫����。由于采用許可證方式��,整個企業部署的成本較高�。
另外�����,很多木馬和灰色軟件在安裝前會主動檢測是否有這些防護軟件���,如果有的話就關閉掉�����,這樣就可以避免被檢測到��。所以存在一定風險。
基于網絡的反灰色軟件是在企業網絡連接到Internet的邊界平臺上�����,部署防灰色軟件產品��。在灰色軟件進入網絡前加以識別和清除,降低了安裝、維護和保持更新的成本���。網關得到升級,所有的防火墻后的計算機會自動地得到保護。
-->
