全民反流氓软件
特别策划
流氓危害榜
本期我们结合调查数据以及用户举报数据,公布出用户反应最大的十大流氓软件,由于目前流氓网站也是变本加厉,因此我们也整理出了近期用户投诉最多的十大流氓网站;同时,考虑到共享软件的特殊性,我们对流氓软件中的共享软件也单独出榜。
流氓网站危害榜
第一位:www.3721.com(票数:33874)
第二位:www.7939.com(票数:28745)
第三位:www.4199.com(票数:23477)
第四位:www.9991.com (票数:18012)
第五位:www.piaoxue.com(票数:12541)
第六位: www.51.com(票数:9367)
第七位:www.3722.com(票数:5954)
第八位:www.9505.com(票数:4533)
第九位:www.nb46.com(票数:2814)
第十位:www.265.com(票数:1232)
榜评:榜单上的网站,多数会出现窜改首页或强制加载ActiveX插件等情况,而且窜改主页后,用户很难更改过来,还有的网站会不断弹出自己的相关页面。另外,在统计流氓网站的时候,我们发现淘宝网和易趣网得票数也很高,主要是这两个网站都采用过流氓推广手段,引起了用户的反感,可见采取流氓手段对品牌的负面影响之大。
流氓软件危害榜
第一位:3721网络实名(票数:71680)
特征:强制安装、难以卸载
第二位:百度搜霸(票数:65864)
特征:捆绑安装、难以卸载
第三位:易趣广告弹出软件(票数:60850)
特征:捆绑安装、弹出窗口
第四位:很棒小秘书(票数:55214)
特征:弹出页面、强制安装、难以卸载
第五位:雅虎助手(票数:48138)
特征:难以卸载
第六位:DuDu加速器(票数:40254)
特征:强制安装、难以卸载、捆绑安装
第七位:划词搜索(票数:34713)
特征:捆绑安装、难以卸载
第八位:MMSAssist彩信通(票数:31210
特征:捆绑安装、难以卸载
第九位:CNNIC中文上网(票数:27897)
特征:强制安装、难以卸载、无法真正结束进程、收集用户信息
第十位:青娱乐(票数:2648)
特征:捆绑安装、弹出窗口、难以卸载
榜评:在这个榜单中,多数都属于“老面孔”,它们早就被众多用户深恶痛绝。当然,现在猖狂的流氓软件不止榜单上的这些,还有很多新出现的流氓软件,由于还没有大范围传播,在榜单上未体现出来。但不管是新的流氓软件还是“老牌”流氓软件,我们都决不姑息。本榜单会根据用户举报不断更新。
捆绑软件危害榜
第一位:珊瑚虫QQ(票数:9351)
捆绑:KK图铃通
第二位:Windows美化大师(票数:8178)
捆绑:IeBar、雅虎助手、酷客下载
第三位:XP星号密码查看器(票数:7332)
捆绑:MMSAssist彩信通、CNNIC中文上网、划词搜索、DUDU下载加速器
第四位:PC清理王(票数:5463)
捆绑:百度超级搜霸、CNNIC中文上网、划词搜索、DUDU下载加速器、ZCOM娱乐、极品数字网络电视、私人磁盘
第五位:RM电影文件修复专家 (票数:3072)
捆绑:eBay工具条
榜评:作为一款非常好用的工具——珊瑚虫QQ,因为捆绑软件而“荣登”榜首,可谓遗憾。在统计中我们发现,有不少被用户投诉的软件已经改邪归正,典型的如《暴风影音》,在其官方网站上已经推出了无插件版,这是让人欣喜的地方,我们也期望这个“捆绑软件危害榜”出现空缺的那一天尽快到来。
说明:以上榜单数据均依据“流氓软件大调查”和“流氓软件举报”中的信息整理,数据采集时间为2006年10月10日。反流氓软件是一场全民的战争,需要我们共同行动起来,发现一个,揭露一个,让所有用户都能认清流氓软件以及它的无耻行径,避免再次受害。为此我们的流氓软件举报通道将长期开通,并不断整理、公布流氓软件危害榜。
"全民反流氓软件"专题网站:www.cpcw.com/flm/index.htm
剖析——流氓软件技术揭秘
前面的大调查显示,用户最痛恨的流氓软件行为就是无法卸载。那么,流氓软件是通过何种技术手段给用户带来无尽的烦恼,挥之不去呢?今天,我们就特邀Windows系统底层开发专家来做客,为大家深入探讨流氓软件的工作机理。
特邀专家:辛涛
28岁,计算机专业,现供职于上海某知名软件公司,任JAVA软件工程师。对Windows工作机理极为熟悉,擅长系统底层开发。对网络浏览器插件有特别研究,已有多个网络软件作品被商业应用。
一、3721,开创流氓软件时代
1998年,中国的互联网刚处于起步阶段,3721诞生了。由于它在不知不觉中安装于用户的电脑,添加用户不需要的IE按钮、修改启动项让它开机自启动,最令人深恶痛绝的是它经常干扰其他软件的正常运行,而且根本无法正常卸载清除,这种行为虽让3721获得了巨大的成功,但这却是一种人人喊打流氓行为。
3721开创了中国互联网的流氓时代,无可厚非的登上中国流氓软件的开山鼻祖的宝座。在利益的驱使下,“流氓软件”大行其道,疯狂地肆虐着互联网用户的电脑,严重地影响了我们的正常网络生活。
二、剖析流氓软件惯用伎俩
流氓软件采取的流氓行径主要有以下几点:
●强行安置于用户的电脑,无法完全卸载;
●劫持用户IE,强行弹出广告;
●开机自启动,运行于后台,监视用户的信息及操作;
●干扰其他软件的运行,破坏系统安全;
●能够自我保护、自我恢复,在删除后依然存在;
流氓软件能如此蛮横无礼,主要采用了以下技术:
1.修改注册表
所有的流氓软件都会修改注册表,“流氓”们为了日后更好地实施流氓行径都采用了修改注册表的手段。注册表内的数据对于整个Windows系统而言是举足轻重的,它是帮助Windows控制硬件、软件、用户环境和Windows界面的数据文件集合,注册表包含在Windows目录下system.dat和user.dat两个文件里,通过Windows目录下的regedit.exe程序可以快速的修改、存取注册表数据。现在流行的编程语言都可以方便地读取、修改注册表文件,这就使得用户的注册表变得异常的脆弱。
流氓软件通常都会修改注册表将自身添加到自动启动项中,实现每次开机自启动,像酷客娱乐平台、青娱乐等公认的流氓软件都会修改注册表来完成开机自启动,并在后台偷偷地下载数据。它们会在注册表项 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或者HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices中“新建字符串值”,在数据项中添加想要自动启动的软件的绝对路径就可以了。
在Run项中自启动的软件是在Windows初始化完毕后才启动的,而在RunServices中自启动的软件是在操作系统启动前就开始运行的,也就是说RunServices中的程序先于Run中的程序运行,如果要查看当前有哪些是添加在自启动项里的可以通过“运行”→“msconfig.exe”得知。
2.利用IE插件技术
一些软件为了方便以后扩展或者能让所有人都能参与使得该软件功能更强大、更完善而使用了插件技术,这本应是一片净土,可是大多的流氓软件都盯上了这个地方,成了它们眼中的“美餐”。
IE从出现起就被一些心怀鬼胎的人所看中,也成为“流氓软件”的乐土。流氓软件的大多数都是通过插件而置入IE中的,都是采用BHO插件的形式。早在1999年,微软就向第三方程序员开放了交互接口的业界标准BHO(Browser Help Objects),是实现了特定接口的COM组件。通过BHO可以实现对浏览器事件的获取,如对浏览器的“前进”、“后退”等事件的获取;最重要的就是程序员可以自己编写代码来控制浏览器的行为,常见的有修改IE的地址栏,如百度搜霸等等,添加自己的程序图标在IE工具栏上,如QQ等;完成的BHO插件在注册表特定位置注册后,每当IE启动,所有注册的BHO插件都会被加载,流氓软件也就成功地进入了IE领域。
在浏览器工作的过程中,BHO会接收到很多事件,比如浏览器浏览新的网址、前进或后退、生成新的窗口、浏览器退出等等,BHO可以在这些事件的响应中实现与浏览器的交互。也正是因为BHO的这些特性功能,许多的流氓软件都开发出自己的BHO插件,当这些插件成功启动后,就可以实现对浏览器的劫持。借此来弹出广告或者将页面跳转到指定的页面;甚至定制自己的菜单、工具条等IE界面。凡具有劫持浏览器特征的流氓软件都使用了此项技术,我们常见的有易趣购物工具条、快搜等等。
小知识:BHO的工作过程及与IE的交互
当浏览器启动时,它会在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects中查看是否有注册过的BHO,如果有就创建一个实例,并对这些BHO实例进行初始化,然后建立连接;当IE产生事件,会通过IUnknown接口传递到BHO,用以提供交互的IObjectWithSite接口,这是BHO实现与IE交互的入口函数。BHO对象只有在创建它的浏览器关闭时才能彻底的销毁。工作原理如图所示。
前面提到的,如果流氓软件只将本身写到自启动项,那是很容易被发现的,它们往往也会采用BHO+木马的方式来实现自身的偷偷启动,一切都在神不知,鬼不觉中。
3.利用“钩子”来达到目的
钩子是流氓软件的又一法宝,当利用BHO不起作用时,它们就会投掷它们那肮脏的“钩子”。
小知识:钩子
钩子,是Windows消息处理的一个平台,它允许应用程序截获Windows消息或者特定的事件,每当特定的消息发出,在没有达到目标窗口之前,钩子都能轻而易举地截获并可对此消息进行修改,也可放行此消息,当然也可立刻强制终止该消息的传递。钩子就如同Windows消息传递的“大管家”,任何程序要发送消息出去都必须先向钩子报告,它也就能优先于其它程序得到传递中的消息,然后再决定消息的去留问题。
通过编写钩子程序,可以获取其他程序所传递的数据,将钩子挂在浏览器上时,就能提前得到浏览器中处理的任何消息,从而变成了另一种控制浏览器的方法。首先应用api函数hook,如通过使用Windows核心编程里的apihook类来修改IDT函数入口地址,当api hook钩住createprocess时,就可以监控整个的系统进程,当发现有自己需要的进程启动时,便可启动自身。
BHO的应用是在浏览器启动时才激活,而钩子不同BHO,它不需要被动的等待浏览器事件,而是直接控制浏览器需要做什么,能做什么。钩子可以是一独立的DLL文件,通过Rundll32.exe或自带的Loader程序启动,这一特性有点类似于木马。早期的3721,每步网址都使用了此技术,它监视用户的地址栏消息,当用户输入的为中文或者特定的格式时,它会在BHO获取消息之前抢先来完成对域名的解析(原理如图所示)。
三、为何流氓软件难清除
大多数流氓软件都会强制用户自动安装,而且并不为用户提供正常卸载的途径。就算有些流氓软件提供了卸载的程序,但还是无法卸载干净,它们照样在干着流氓勾当。当用户终止或删除它们时,它们照样会死灰复燃,这些流氓软件究竟是怎么从技术上做到这一点的呢?
1. 用“钩子”保护自身
流氓软件使用api hook技术,钩住openprocess,当有进程打开或者结束时,它们便会利用自身的函数来判断当前打开或者结束的进程,如果打开的进程为自身,则返回true,如果结束的进程为自身则返回false,并重新打开自身进程。
2. 不使用或者隐藏进程,注入系统进程
当流氓软件在利用BHO手段作恶时,并不会产生进程,使一般用户不易找寻其踪迹,也就无法对它进行删除;有些流氓软件会将自身作为Windows的一项服务进行启动,在进程中就可以达到简单隐藏的效果,更有甚者将自身的进程名改得与一些系统进程名相同,当你想终止它时,却无法终止,最常见的是冒充的LSASS进程(如图所示)。
还有一种使用的很普遍的方法就是线程注入,首先向目标进程里申请一段内存空间,然后把自己映射过去,然后使用CreateRemoteThread进行线程注入,譬如说要向EXPLORER进行线程注入,就必须在EXPLORER进程中先申请内存空间,接着利用技术手段将自身映射到EXPLORER进程中,这样做使用户或者一般的杀毒软件都很难处理,也达到了流氓软件保护自身的目的。
到此,我们已对流氓软件技术进行了揭露。通过此文,相信广大用户能更好地防止和查杀流氓软件,软件开发者们也能开发出更有效的对付流氓软件的工具。明年,我们还将针对其他热点软件和网络技术进行深入探讨,我们非常欢迎专家学者来做客或提前与我们联系,发表你的看法,因为,“董师傅讲坛”栏目就是专为你们而设!联系邮箱:pcw-cjy@vip.sina.com。
“流氓软件大调查”结果公布
在“全民反流氓软件”的组成部分——“流氓软件大调查”中,我们一共收到有效调查问卷58385份,这里我们精选部分调查数据刊登,完整的调查结果可登录专题网站查看。
流氓软件已经在个人电脑中泛滥成灾
本次调查结果显示,个人电脑中流氓软件已经泛滥成灾,没有遭遇过流氓软件的用户少之又少,高达80%的用户表示自己的电脑中有3款以上的流氓软件,可见流氓软件危害面之大。
在感染流氓软件后,70%的用户表示异常愤怒,15%的用户表示“无可奈何”,流氓软件不仅危害了是用户的电脑,也造成了用户心灵上的伤害,不少的用户表示对目前的网络状况产生恐惧心理!
多数用户对清理流氓软件了解不够深入,有90%的用户表示对流氓软件只了解一部分,有4%的用户表示不知道如何清理流氓软件。在问到“如果你的电脑被安装了流氓软件,你会怎么办?”时,有高达15%的用户表示自己会重装系统,可见流氓软件对用户的危害以及用户的无奈。
流氓软件最流氓的地方是无法卸载
当问及“你认为现在流氓软件最流氓的地方在哪里?”时,有50%的用户选择了“耍流氓般,死皮赖脸,顽固地驻扎在系统中”,选择“强制安装”和“干扰正常上网”的用户各占20%,可见无法卸载是用户最痛恨的流氓行为,而“弹出窗口”、“拖慢系统”等只是流氓软件在发作过程中的种种表现,只要能够轻松清除流氓软件,那么这些症状照样“活不长”。
调查还显示,“捆绑软件”是流氓软件进入系统的最大通道,而弹出网页是流氓软件最多的表现形式。
“通过国家立法”是消除流氓软件的最佳途径
流氓软件很猖狂,主要的原因是哪些呢?在本次调查中,有48%的用户认为是因为“经济利益驱使”,有42%的用户认为是因为“国家没有相应的法律规范”。
有35%的用户认为“通过国家立法”是防治流氓软件的最佳途径。用户认为,在目前的情况下,不能对流氓软件放任自流,当自己的领土被侵略后,每一个用户应该奋起反抗、申诉,发动全民的力量,促使监管部门加快立法过程。
亮剑——斩除流氓软件
在“流氓软件大调查”中,有15%的用户在感染流氓软件后,被迫重装系统,我们能深深感受到用户那种无奈和愤怒的心情。在痛骂流氓软件的同时,我们也征集到了众多反流氓软件高手,他们愿意分享自己的经验,共同对付流氓软件。本期我们刊登的是一种通用的解决方法,由于流氓软件的复杂性,没有一种方法能对付所有流氓软件,因此今后我们还将在“全民反流氓软件”专题网站以及报纸上陆续刊登更多解决方法,请关注我们的网站!
火眼金睛辨“流氓”
令很多初级用户感到迷茫的是,自己的电脑出了问题,却无法判断是否中了流氓软件,这里我们列出一些简单的判别原则,如果你的电脑存在以下13项中的3项以上的症状,基本上可以判断你的电脑已被流氓软件“劫持”了。
1. 运行速度越来越慢,奔4的机子跑起来像586。
2. 进入系统等待时间变长,系统托盘多了几个奇怪的图标。
3. 打开IE浏览器出现了第三方工具条,IE反应迟钝。
4. 要访问的网站地址被屏蔽,莫名其妙地被转向乱七八糟的广告网站。
5. 没运行任何程序,桌面也会跳出广告。
6. IE地址栏里出现了大量诸如手机铃声之类的广告词语。
7. 鼠标右键菜单里多了几个以前没有的项目,例如××搜索、添加××等。
8. 从未向外人透露的私人信息被发布在了交友网站上。
9. 一些奇怪的软件在Windows添加删除程序里根本无法卸载。
10. 没有运行任何网络程序,网络连接却显示有频繁的数据进出。
11. 任务管理器里多出陌生的进程,占用资源颇多,且无法终止。
12. 下载的安装程序运行后系统迟钝,硬盘狂转,且没有任何窗口提示,不一会儿桌面就多了好几个图标。
13. 杀毒软件扫描系统并没有发现病毒,可情况和中毒一样。
对症下药除流氓
确认了电脑中了流氓软件,我们就可以有针对性地清除流氓软件了。下面介绍几种典型现象的应对办法。
1.广告间谍软件
危害:频繁弹出广告窗口、消耗系统资源电脑运行变慢、窃取用户信息、难以清除。
典型代表:鸡毛信 酷站导航 ADplush搜索 桌面媒体等
中招现场:打开百度首页却跳出数个广告窗口、首页被更改、办公电脑频繁弹出色情网页让人尴尬不已、即使不开IE也莫名其妙地跳出广告。如果你的电脑出现以上情形就说明流氓软件家族之——广告软件已经在你的电脑里安家了(如图)。
董师傅支招:普通用户在没有相关工具的辅助下可以调出任务管理器(“Ctrl+Shift+Del”)将可疑的进程终止,这样可以直接阻断这些程序在后台偷偷运行,迅速释放CPU和内存的资源占用,以便进一步清除(如图)。
在图里的实例中我们发现,当前并没有开启IE浏览器,却出现了“iexplore.exe”进程,并占用18MB的内存,还有上面那个“cdnup.exe”占用了高达77%的CPU资源,怪不得电脑反应慢。
在可疑进程上点点鼠标右键,依次结束这两个可疑进程。对于暂时不能确定是否合法的进程,在搜索引擎里输入该进程的名称即可得知其真实身份了。
结束恶意进程后,为防止开机后它再次死灰复燃,要去除其自动加载,在“开始→运行”中输入“msconfig”调出“系统配置实用程序”,点击“启动”标签,注意检查这里的每个项目以及所在地址和相关注册表的位置(如图)。
找出可疑的开机加载程序后去掉前面的钩,点“应用→确定”。随后进入“控制面板→添加删除程序”中将相关程序卸载。这样不但直接终止了恶意程序的运行而且避免了重启后再次复发。
但是如何才能保证浏览网页时不再被强行安装此类恶意软件?安全专家的建议是抛弃IE,使用Firefox、Opera等其他非IE内核的浏览器,但是这些第三方浏览器对于众多常年用IE的网民来说还比较陌生。其实IE自带的安全机制只要设置得当可以拦截大部分流氓插件。
在“控制面板→Internet选项设置”中打开“Internet属性”,在“安全”标签的“internet区域”点击“自定义级别”,打开“安全设置”窗口,在“ActiveX控件和插件项目”中将“ActiveX控件自动提示”、“对标记为可安全执行的ActiveX脚本”、“对没有标记为可安全执行的ActiveX脚本”、“下载未签名的ActiveX控件”、“下载已签名的ActiveX控件”分别设置为“启用、提示、禁用、禁用、提示”,然后点确定(如图)。并在“隐私”标签里启用“弹出窗口阻止器”,随后在“高级”标签的“浏览”项目中去掉“启用第三方浏览器扩展”前的钩并确定。
这样在浏览网页时对于常见的通过Activex插件形式强行安装的流氓插件就具有了最基本的免疫能力。
提示:建议有空多检查一下“系统配置实用程序”中“启动”标签下的项目,看看是否有可疑选项,发现后及时处理。
2.浏览器劫持
危害:强行安装、霸占IE、监视个人隐私,难以卸载。
代表:雅虎助手 YOK工具条 很棒小秘书 实用搜索工具栏 百狗搜索 CNNIC中文上网等
中招现场:笔者下载了一个软件,DOWN下来后立马安装,软件安装完后发现只出现“青娱乐”软件播放器,可我下载的并不是这个软件阿?既然不是那就先删了它吧。笔者来到控制面板找到“青娱乐”选项,并将他删除。但电脑重新启动后它还是出现了,系统无法将它删除。
董师傅支招:对于这类老谋深算、武装到牙齿的绝世老流氓,前面介绍的应急处理方法就不太好用了。它们已经修练到了刀枪不入炉火纯青的地步,大多数无法通过任务管理器终止其进程,更厉害的还能隐藏自身进程甚至阻止任务管理器的运行,同时锁死“注册表”,让你没法查它老底。这个时候我们得借助其他软件帮助加强火力才能将它们压制住,譬如可以使用“超级兔子”和“360安全卫士”这两款清理软件。
方法一:使用超级兔子清除
老牌系统优化软件,其明星功能是备受欢迎的“超级兔子清理王”,可卸载超过203种各类流氓软件,同时具有高级别的进程查看器。
对于一些隐藏装扮成系统进程的流氓软件,用“超级兔子任务管理器”可以将它们打回原形,让它们立刻显现真实面目(如图),此例中出现过的“iexplore.exe”试图再次装扮成无辜的IE浏览器进程,没想到竟然被发现了,立即结束其进程。
终止这些流氓软件的进程后就要将它们统统赶出我们的系统,打开“超级兔子清理王”,系统里遍地开花的流氓软件一览无余,一一用红色标注了出来,足足有十余种。全部选中后,点“下一步”开始自动卸载(如图),除了一两个“魔王”级别的流氓软件需要在系统重启后卸载彻底卸载外,其余流氓软件均被卸载。
提示:有些用户发现中了流氓软件后居然不能上网了,什么网页都打不开。这是因为有个别极为变态的流氓软件会将系统的Winsock2网络接口强行占用,导致TCP/IP协议无法正常工作,对这类变态程序,“超级兔子IE修复专家”内置的“强力修复Winsock2”功能可以彻底还原被霸占的Winsock2接口并提供了备份功能。
可我们总不能每次中招都这么被动吧,超级兔子想到了这一点。打开内置的上网精灵组件,在“安全防护”中对“禁止恶意网页攻击IE”、“修补IE漏洞防止攻击”、“检测系统安全状况,防止木马病毒”这三项全部打上对钩。随后在“IE免疫”-“禁止弹出IE插件的提示”点击详细设置后这里列出了上百款插件,如果你不知道如何选择可以点击推荐,超级兔子就会将流行的几十种恶意插件全部屏蔽。值得一提的是这个上网精灵还可以对你设置的网址和网页关键字进行过滤,可以起到抵御色情、暴力等非法网页的功能,很实用。
方法二:使用360安全卫士2.0清除
其创始人当年发明了臭名昭著的3721,现痛定思过改邪归正推出了360安全卫士专门清除各类流氓软件。最新2.0版可清除高达267款各类流氓软件。
运行“360安全卫士”后,点击“查杀恶意软件”,经过一番扫描后,能迅速检测出系统中是否存在流氓软件,点击“立即清除”即可将流氓软件“扫地出门”。
接下来还可以进入“诊断及修复”选项卡,点击“全面诊断”标签,让安全卫士对系统进行全面的诊断,发现可疑情况后,勾选可疑项,点击“修复选中项”即可(如图)。
提示:目前还没有任何一款清理工具可以对付所有流氓软件,因此建议如果问题比较严重,可以考虑将多款清理软件配合使用。
方法三:使用Ad-Aware SE Personal清除
全球知名的间谍广告清理软件,能将系统中不易被发觉的恶意Cookie文件、软件中附带的广告及其他危及用户隐私的程序彻底清除,并且这款软件可以免费使用。
用前面的工具清理了流氓软件,如果以为这样系统就真的洁净了,那你就错了。俗话说大鬼好见小鬼难缠。谁能保证系统里众多软件不带进来个还称不上流氓软件的小鬼? 不信我们就用“Ad-Aware SE Personal”试试。
界面虽然是英文但很简单无需复杂设置,运行后会自动升级到最新版本。点击左边的“sacn now”,在右边的Scan Mode中选择你要扫描的方式,“perform smart system sacn”、“perform full system sacn”、“Use custom scanning options”、“Scan volume for ADS”分别为智能扫描、全盘扫描、详细设置、自定义路径,普通用户可以选择第一项“perform smart system sacn”智能扫描,然后点Next。不一会就给出检测结果了(如图)
看到了吗?检测出了多达12处广告和间谍程序,赶快点击Next清理这些“垃圾”。
提示:这里需要指出的是Ad-Aware SE Personal的免费版本可以升级,但没有实时监控功能,高级或对系统安全有严格要求的用户可以使用eTrust pestpatrol(号称全球最强的广告间谍清除软件),它有极为苛刻的实时监控功能。
在以上三款强力清除软件的围攻下,那些誓与系统共存亡的大鬼、小鬼基本都会被清理干净了。
3.恶意共享软件
危害:一些共享软件作者为了谋取利益在安装包中捆绑恶意软件,采取强制、陷阱、诱骗等方式未经允许即将它安装到用户机器里。
典型代表:SeeTV网络电视2006、LinkMedia等
中招现场:几个星期以前,我的IE开始不定时弹出猫扑网广告。可我记忆中并没有安装DuDu加速器啊。 随后,我用遍了绝大部分木马查杀工具,没有任何效果。这个广告总是在我上网时弹出来。上网一查,发现自己中了千橡公司的木马了。原来不知什么时候DuDu下载加速器已经自动安装上了我的电脑,我还没察觉。
董师傅支招:最近出现了一些极其恶心的流氓软件包,伪装成正常安装程序,一旦运行就将数十种流氓插件统统安装到用户系统中,CPU占用率顿时攀升到100%,严重时导致系统崩溃!这类马蜂窝式的流氓软件包,其危害甚至超过了病毒,绝对不能运行。普通用户如何辨别?
这就要养成一个良好习惯,凡是下载的程序一律先用杀毒软件对它查杀,譬如江民的KV2007中已经加入了流氓软件清除功能(如图)。
这里以KV2007为例,刚下载的一款软件安装包为“setup.exe”,右键单击该安装包选择杀毒,果然发现了此安装程序有问题。其他各款杀毒软件的操作大同小异。
防范——打造金刚不坏之身
流氓软件虽然来势汹汹,但并不是无从预防,例如前面提到的360安全卫士就可以对100余种采用插件形式的流氓软件有效做到免疫。打开安全卫士后点击工具按钮——“弹出插件免疫”,这里列出了上百种常见的插件,如果不确定对哪些免疫可以点击下方的“选中推荐免疫项”,安全卫士会自动将臭名昭著的几十款恶意插件屏蔽(如图)。
另外采用防火墙也是重要且有效的防御措施,这里说的防火墙并不是Windwos XP SP2里自带的防火墙,由于Windwos防火墙采用单项防御机制,只对进站访问拦截而不对出站程序检查。一款双向防火墙可以有效遏制流氓软件的进一步破坏,所有流氓软件都有一个共同的特点,即侵入系统后需要连接网络,以便发送用户的相关信息,这时防火墙就会询问有不明进程访问网络是否放行,将它拦截就能斩断流氓软件和外界的联系通道。不少用户说抱怨刚清理完不一会又窜进来了,甚至让流氓软件把超级兔子和360安全卫士都给破坏了,主要原因就是流氓软件打开了系统后门,有援军支持并和反流氓软件对着干。
当越来越多的流氓软件加强自身进程保护,当在任务管理器或其他第三方软件的帮助下都无法结束其进程的时候,高级用户可以打开任务管理器点击“查看——选择列”,选中“PID进程标识符”,确定后就能看到恶意进程对应的PID码了。以恶意进程“cdnup.exe”为例,其PID码为4076,在“开始→运行”中输入CMD,在命令提示符窗口键入“ntsd -c q –p 4076”,回车后“cdnup.exe”进程即被立刻杀死。该命令除了仅有的几个系统进程不能终止外,对其他顽固进程一招奏效,目前还没有发现那个流氓进程能抗过此命令而不被杀死的。
过三关斩六将,一路辛苦下来终于将网民恨之入骨的流氓软件制伏。随着全民声讨的力度不断加大、相关制度的逐步完善,流氓软件的丧钟已经敲响,那些执迷不悟还在大肆推广流氓软件的厂商终将被网民所唾弃,并在互联网发展的历程中留下深深的流氓印记!
网友支招
管理好你的进程和注册表
安徽:徐云善
我现在也算不上一个老鸟,在经历了无数次被“流氓”后,我终于可以做到电脑里不再出现流氓软件了。
对付流氓软件首先要学习一些最基本的进程知识,要记住哪些是系统进程,你的电脑的应用程序会产生哪些进程,进程管理器里运行的除系统进程外的进程,自己必须知道它们是什么软件运行产生的。如果不知道就结束该进程,再看看现在什么软件被你关闭了,等你所使用的所有软件进程都了然在胸,以后看到可疑进程你就会发现流氓进来了。
管理进程我现在用的是Process Explorer汉化版(http://www.crsky.com/default.html),这个软件吃内存有点凶,建议不要和系统一起启动,只是管理进程时打开看一下,你会很直观地发现哪些是系统进程,哪些是应用软件进程,调用了哪些模块,调用了哪些DLL,对进程了解和熟悉后,基本上就可抵御大流氓了。
不过你的电脑还很脆弱,我的注册表就经常被写入可疑信息,因此我认为必须要有个注册表监视软件。多次试验,找到了SSM 2.0多国语言(包括简体中文)版(下载地址:http://www.syssafety.com)。它监视你的注册表,监视你的所有软件对函数的调用、IE的设置、窗口过滤等,有了它,就不怕你的注册表被莫名其妙地写入信息了。
通过监视注册表和管理进程,基本上就可以让多数流氓软件远离你了。如果怕麻烦,再加一款流氓软件清理工具就可以了。
还有,上网时要养成好习惯,下载软件和访问那些提示要安装东西的网站时尤其要注意。如果可能的话,尽量不使用IE浏览器以及IE内核的浏览器,我使用的是苹果浏览器和Opera,这样也可以大大降低中招的几率。
流氓软件导致的网络故障解决
山东:陈涛
有时候,由于电脑中安装了过多的流氓软件,可能会导致IE进程( iexplorer.exe)或系统桌面进程(explorer.exe)崩溃。如果你使用的是Windows XP系统,则可以右键打开IE“属性”切换到“程序”选项卡,单击“管理加载项”,打开“管理加载项”窗口。将其中的可疑插件禁用,重新启动IE就可以恢复正常。但是由于这种操作仅仅是禁用了插件,并没有删除流氓软件,因此我们仍然需要使用上面提到的工具对系统进行清理。
当我们清理完流氓软件后,如果有时IE仍然被转到另外的地址,那么可能是由于某些ISP服务商劫持了DNS服务器,将请求转向了其他的站点。对于这种情况我们可以通过更改DNS服务器地址的方式解决。OpenDNS是一个很好的选择,我们只要将电脑中的IP地址更改为首选DNS:208.67.222.222以及备用DNS:208.67.220.220就可以摆脱ISP对DNS的劫持。
在必要的情况下我们可以再运行mrt.exe命令启动Malicious Software Removal Tool工具,清除一些国外的流氓软件。
比拼——7款流氓软件查杀工具横测
既然是反流氓软件工具测试,选择测试用的流氓软件同样相当关键,这里我们选取了最有代表性的前面流氓软件危害榜中的10款流氓软件来进行测试(见F3版)。由于本次测试的目的是为了对用户选择反流氓软件工具作出指导,因此我们使用了主流配置的硬件平台,并从检测能力、清除能力、防护能力以及易用性四个方面为每款反流氓软件工具进行打分。最后,我们会根据四方面的得分情况综合来评判每款软件。
一、检测能力测试
评测方案:
我们首先在干净的Windows XP系统中安装好10款流氓软件样本,再依次使用7款流氓软件查杀工具进行系统扫描对比检测效果。
评测项目:
流氓软件被检测到的数目和检测时间是流氓软件查杀工具检测能力的重要项目。这两项比分分别占7成和3成。
小结:在检测能力的测试成绩中,出现了很明显的两级分化,大部分反流氓软件工具都有不错的表现。测试成绩最好的《超级兔子》和《清理大师》,因为它们采用了一样的检测机制与流氓软件数据库,因此检测结果完全相同。事实上,《清理大师》升级成完整版后,就是《超级兔子》,但是其防范与修复等功能与《超级兔子》有很大不同,所以我们仍然把它单独作为不同的工具进行测试。
《360安全卫士》的表现很有些奇怪,在其安装过程中就指出了雅虎助手的存在并进行了删除,但在随后的检测中仍然检测到了雅虎助手。我们还特别注意到,成绩不错的《恶意软件清理助手》没能够检测到网友投诉最多的流氓软件之一的3721网络实名。
《流氓软件杀手》和《恶意网站清除》在这项测试里表现令人有些失望,仅为两个,这主要是它们的数据库里能够查杀的流氓软件本来就不多而造成的,分别为53个和6个。
二、清除及修复效果测试
评测方案:
在安装有流氓软件样本的系统上,我们每次将使用一款待测查杀工具清除,清除后重启,任意用另外两款查杀工具检测查杀效果(是否有残留文件),并记录结果。为了保证每个反流氓软件工具所面对的系统环境完全相同,我们在每个工具测试前使用同样的镜像文件对系统进行重建。
评测项目:
查杀工具第一次清除流氓软件的数目+清除效果。比分分别占4成和6成。综合清除效果的分数是确认已删除(没有被重新发现)的流氓软件数目除以首次清除数目的比分。
小结:这些有名的流氓软件查杀工具经测试后,我们的评测工程师失望地发现它们都经不起重复清除检查!从清除数目上看,《360安全卫士》与《清理大师》的结果最好,10款流氓软件清除掉9款。但是,《360安全卫士》清除的9个流氓软件中有6个都没有完全清除,又被其它工具查出。而且《360安全卫士》的扫描结果中,部分流氓软件如3721网络实名、雅虎助手等是默认被选中的,可以直接删除,而另一些如青娱乐、易趣工具条等则只是列出,用户需要手动选中才能删除。
《超级兔子》和《清理大师》的“清除效果”得分也很难让人满意。《恶意软件清理助手》表现普通,虽然清除数目仅有5个,但其中3个都是完全清除,不像其它反流氓软件工具那样夸大效果。《完美卸载2006》表现较差,《流氓软件杀手》仅有的两个清除结果都被其它工具否决,本以为得分垫底是意料之中,而《恶意网站清除》则不提供免费清除功能,要想清除流氓软件?请付费先!
三、防范效果测试
评测方案:
我们在一个没安装任何防护工具的干净的操作系统中,通过安装捆绑流氓软件的工具或浏览相关网站的方式安装10款流氓软件样本,记录下被拦截的流氓软件,并随机抽取两款流氓软件查杀工具检查防范结果。
评测项目:成功防范数目+防范方式。对流氓软件的防范方式不同并不会对防范效果产生决定性的影响,因此我们只是将防范方式列出,并不会针对此项功能打分。
工程师提示:主动防御与被动防御的区别
主动防御的工作原理大致与大家熟悉的杀毒软件与个人防火墙类似,都采用实时监控系统文件、注册表或者网络端口的方法,一旦发现有软件对所监控的对象进行操作,就拦截操作并发出警告。而被动防御则是反流氓软件工具特有的防御方式。流氓软件为了保证自己的安装,都会对系统进行一些改动,来标注自己在当前系统中是否已经安装。一旦我们通过被动防御在系统中手工做出这些改动,流氓软件就会认为自己已经在这台计算机中安装过了,因此不会继续安装。
小结:我们在测试的反流氓软件工具中,只有《完美卸载2006》采取了主动防御的方式,形式类似防火墙,通过实时监控文件复制和修改注册表的操作来达到监控任何形式的安装操作的目的,但是默认的设置敏感度低,需要用户干预的操作太多,实际的防范效果并不太好,防范率仅为30%。我们感觉,若能够总结出流氓软件的普遍规律并针对这些规律进行监控,主动防御其实是最好的保护系统的方式。
与《完美卸载2006》的主动防御相比,《超级兔子》和《360安全卫士》采取的免疫的被动防范方式效果好很多,为70%。《恶意软件清理助手》、《清理大师》、《流氓软件杀手》三款工具的重点在于清除流氓软件,都没有提供防范功能。
四、易用性测试
评测方案:
反流氓软件工具的用户中,有很大一部分用户都缺少专业计算机知识,这是我们考虑在此次评测中加入易用性测试的主因。为了尽可能公正评价这一主观性很强的项目,我们主要强调如何用最简单的方法完成一次流氓软件的查杀过程。
评测项目:
操作步骤(从开始检测流氓软件到删除再到完成的全过程中所需的鼠标点击数)+升级方式+界面设计(美观、布局合理)是易用性测试中主要的三个项目。比分分别占4成、3成、3成。
小结:《360安全卫士》、《恶意软件清理助手》采用了一键查杀,只须点两下鼠标就能清除流氓软件了,十分方便。但由于在《360安全卫士》中,部分流氓软件需要用户手工选中,因此若要将流氓软件全部清除要多点几下鼠标。而《超级兔子》的每一个扫描结果都需要用户反复确认才能删除,导致操作步骤增加,用户使用稍显不便。
升级功能使反流氓软件工具能够方便地添加针对新出现的流氓软件的卸载和免疫方法,《完美卸载2006》和《360安全卫士》表现是最好的,自动升级。《恶意软件清理助手》升级服务器时常会遇到服务器繁忙的情况,导致升级进度停滞,相信没有人愿意花过多的时间在升级上,这点给我们留下了不好的印象。
易用性测试中,界面设计方面,参评的工具大多数界面都基本做到了外观、布局合理、功能醒目,只有《恶意网站清除》界面较差,8个关于网络安全的选项拥挤在499×21像素的矩形框里(且功能选项需要切换),划分过细,显得凌乱,给用户使用带来了麻烦。但是需要指出的是,《超级兔子》是一个优化工具,查杀流氓软件只是其中一个功能,但是功能太多导致查杀时还要细看每项功能的说明,查杀过程略显烦琐。《完美卸载2006》就注意了这个细节,分为了简洁界面和其他功能界面,查杀选项在简洁界面中一目了然,操作自然方便。
评测总结
通过测试我们可以看出,目前的流氓软件查杀工具还处于很不成熟的阶段,表现出很多问题与缺憾。首先由于大多数流氓软件为了防止自身被删除,改写了多处系统文件与注册表,有些还使用了动态文件名技术,使得流氓软件的特征不固定,目前的反流氓软件工具对同一款流氓软件的特征定义不统一,造成各款反流氓软件工具标记已经删除的流氓软件会被其他反流氓软件工具发现。
其次,由于对流氓软件的活动特征缺少了解和定义,反流氓软件工具无法像防病毒软件一样对流氓软件进行实时监控与防护。本次测试的7款软件中,仅有《完美卸载2006》设计了实时监控功能,而且其实际效果并不理想。这些问题其实能够通过加强同行业之间的交流,或由权威部门制定预警和公告机制来解决。
对于用户来说,目前还没有任何一款反流氓软件工具能够保证杀灭所有的流氓软件,因此综合上面的成绩,我们推荐使用《超级兔子》,建议同时可选择《完美卸载2006》和《360安全卫士》中的一款配合使用。
另外需要提到的是,还有一些软件如UPIEA,虽然只提供被动免疫流氓软件的功能,但确实能够在很大程度上降低感染流氓软件的风险,且体积小巧,无须安装,推荐用户在新安装系统后立即使用。同时,鉴于目前反流氓软件工具不完善的情况,用户只有在上网时多加小心,尽力避免访问不明网站和安装不明软件。请记住托马斯·杰弗逊的名言:“自由的代价是永恒的警惕!”
评测花絮:
评测工程师 何若愚:
评测前,我本以为中流氓软件是很容易的事,事实却并非如此。不少流氓软件并没有安装程序可以下载,本人也没有收藏捆绑流氓软件的恶意网站的习惯,因此要准确快速地安装流氓软件就只能选择下载那些捆绑了流氓软件的安装程序。忙活了半天,才将我们测试所需要的10款流氓软件凑齐。这段不寻常的“犯贱”经历实在令人唏嘘不已,正所谓“我本将心向流氓,奈何流氓看不上”!
评测工程师 罗琦:
对待流氓,我们要像冬天一样的冷酷无情。测试结果也证明了,反流氓工具目前还走在流氓的后面。
其实对于中了流氓软件的我们来说,都是平时上网时的好奇心作祟,使我们有意去点一些吸引眼球的广告导致的,而流氓软件恰恰就在这时开始践踏我们的PC了,所以,养成良好的上网习惯才是王道。