计世独家：间谍软件常见类型和感染方式分析1

1前言

网络安全专家们一直在讨论间谍软件的含义。微软把间谍软件定义为在用户不知情的情况下，能够完成广告显示，收集个人信息，或者能够修改计算机设置等功能的软件。严格意义上，能够帮助收集（跟踪、记录或报告）个人或的软件都可以称为间谍软件。

间谍软件是继病毒和蠕虫之后，对网络带宽和网络安全造成最大影响的因素。据IDC调查数据，网络上67%-90%的计算机，都曾受到过间谍软件的影响。例如，广告软件，最典型的间谍软件，偷偷占用带宽和计算机资源，并且暴露了企业的负债情况、安全风险等信息，甚至危害到日常生产。根据NetworkWorld杂志报道，在一个1000个员工规模的企业中，每年由于间谍软件造成的损失约为87000美元。

由于其不断增长的可疑性，间谍软件越来越引起人们的关注。无论是在学校，办公室，还是在家中，上网冲浪变得越来越危险，经常会受到弹出式广告的骚扰。接着，这些弹出式广告可能会安装间谍软件，可以监控你的浏览习惯，应用程序使用情况，以及捕获输入的数据。间谍软件通常含有可疑代码，能够暗中收集你的计算机或者局域网的信息。这些可疑软件可能会导致计算机崩溃，病毒感染和信息泄漏。

许多隐藏在自由后面的软件，声称能够提供新的互联网服务功能，来引诱你使用。然而，一旦你安装之后，间谍软件往往起到相反的效果，每次按下鼠标，键盘，或者访问网站，都会报告给远程服务器。微软估计，约有一半以上的Windows操作系统曾经因间谍软件而造成系统崩溃。

2间谍软件的类型

间谍软件包含了不同类型，渗透网络，以搜索系统信息，包括敏感用户数据、浏览习惯，以及应用程序使用情况。这些类型包括了浏览器绑架软件、IE工具栏中的应用程序、弹出式广告、winsock绑架软件、中间人代理软件、广告服务cookies等。

2.1浏览器绑架软件

浏览器绑架软件，是一种可疑程序，一旦安装在用户的Web浏览器上之后，就会修改其默认主页，搜索页面和出错页面等。浏览器重定向，会造成网络流量膨胀。这种类型的绑架软件能够修改浏览器的任意设置，比如在IE中增加个书签。

最新的绑架软件，利用了NTFS仅有的多种数量的备用数据流技术，这样可执行程序、文本文件乃至目录文件都可能染毒。目前只有少数的反间谍软件能够检测出基于该技术的间谍软件。

2.2IE工具栏

有些间谍软件安装后，通过IE插件或者浏览器辅助对象（BHO，Browserhelperobjects），结合在IE中，会显示在IE的工具栏、搜索栏或者任务按钮上。BHO能够共享IE的存储器，可在可利用的窗口和模块上执行任何活动。BHO可检测事件，创建窗口，在浏览页面上显示附加信息，监控信息和活动。

2.3弹出式广告

另外一种常见的间谍软件渗透类型，就是弹出式广告。在弹出式广告中，也可能含有间谍软件。广告软件的功能是显示广告信息，当用户上网浏览，到某个站点或者是在搜索引擎中输入特定关键字的时候，就可能触发这些广告软件，

许多P2P软件也经常内嵌着间谍软件。比如，免费版本的Kazaa就包含着GAIN（Gator），Cydoor和MyWay等间谍软件。

2.4winsock绑架软件

分层的服务供应者（LSP），位于计算机winsock层之间，能够修改所有流经系统的数据。微软的操作系统中，默认安装了很多有用的LSP。隐藏在这一层的间谍软件，称为winsock绑架软件。这些间谍程序监控着网络，能够访问流经桌面的所有的数据，能够将Web请求定向到关联的网站。任何试图删除这些winsock绑架软件的操作，都会导致LSP链断开，从而致使网络连接无法正常工作。不同类型的CoolWebSearch间谍软件，都属于winsock绑架者类型，必须用特定的软件查能删除。

2.5中间人代理服务软件

有一种很危险的间谍软件，专门伪装着能够加速用户Internet访问速度。这种间谍软件，对所有的上网行为，包括安全连接，都会重定向到中间人代理软件。这种软件能够偷偷获取敏感信息，比如密码、信用卡卡号、银行账号、以及信用卡信息等。

2.6广告服务cookies或者间谍软件cookies

Web应用程序通常用cookies来保存些状态值。网站利用cookies来记载计算机或浏览器之前是否有访问记录。在电子商务应用程序中，通常采用会话级的cookies来记录购物车中所选择商品的名称及数量。

相反的是，广告服务cookies，或者是间谍软件cookies，会通过多个站点来跟踪用户访问站点的历史记录。这些站点是广告网络的组成部分，通过收集用户浏览习惯，分析出用户的大体情况。如DoubleClick、LinkShare和CommissionJunction等公司，就是利用广告服务cookies收集用户信息，包括IP地址，浏览器类型、操作系统类型、域名、服务（SP）以及本地时区等，然后利用功能强大的数据挖掘和Web分析工具，发掘市场先机。这些cookies同时也会将表单中的个人信息传送给指定的广告商，进而也可能卖给其他对这些信息感兴趣的团体。

另外一类间谍软件cookies，是透明的gif图片，人们称之为Web灯塔或WebBugs。这些小小的透明的图片文件有个唯一的ID，这一点与cookies功能类似。这些图片用于跟踪Web用户的在线移动轨迹，他们会与计算机中的cookies进行交互，如果发现存在两个相同ID的图片的话，则发送收集到的信息到广告公司。广告利用cookies（设置或读取透明的gifs）来实现广告报告的功能，检测哪些广告会吸引用户到他们站点来购买或注册产品。这些信息，能够帮助广告商们收集有关现有客户和潜在客户的市场信息。除了侵犯隐私外，这样的活动还增加了企业中的网络负载，占用了带宽。

3间谍软件的感染方式

间谍软件通过多种方式感染网络系统，这些方式包括“随看随下”方式、免费下载方式、与P2P软件绑定方式、社会工程以及利用IE安全漏洞等。