观察：警惕间谍软件入侵

　　文/田强 Eric Chabrow

　　间谍软件悄悄潜入用户的电脑，窥视用户的行为，随时可能盗取用户的信息。

　　最近，在2006年都灵冬季奥运会上为澳大利亚赢得第一枚金牌的滑雪选手德尔·贝格史密斯(Dale Begg-Smith)再次成为新闻人物，但这次并不是因为他的金牌，而是他曾经从

事的间谍软件生意。史密斯经营的Adscpm.com网站每天能制造多达2,000万个弹出式广告，虽然这个网站已经关闭，但这么多含有间谍软件的程序却让人们觉得难以置信。

　　事实上，间谍软件可能就潜伏在你的电脑中。美国一项通过扫描了200万台电脑的调查显示，2005年81%的个人电脑感染了间谍软件，每台电脑感染间谍软件的数目多达25种，而另一项对2,066家企业的调查结果是80%的企业反映有间谍软件问题。Mcafee公司亚太区产品总监陈联说：“间谍软件的危害比病毒更加严重，并且中国用户对间谍软件的意识还非常薄弱。”通过软件下载、网页浏览和电子邮件等方式，间谍软件悄悄潜入用户的电脑，窥视用户的行为，随时可能盗取用户的信息。

　　用户迟疑

　　由于间谍软件的隐蔽性，在中国，用户对反间谍软件的重视程度并不高。即使是在账号信息十分重要的网上银行等应用中，反间谍软件的应用也没有上升到关键地位。现在网上银行普遍采用“安全登录控件”取代传统的HTML格式的输入控件，防止用户在输入信息时被窃取账号和密码，但是用户的资料如果因为个人电脑中原有的间谍软件被盗取了，恐怕还得自认倒霉。一家银行的IT人员表示：“最多也就是网上银行平台和用户各打五十大板，这就像用户使用交流电，电器制造商只能说尽量把产品做到防止触电和漏电，但用户还是使用不当，触电了，责任归谁？”

　　在企业内部，反间谍软件的重要性也仍然未被企业认识。上海恒荣国际货运有限公司首席信息官(CIO)高宏飞说：“相对于必须安装的杀毒软件和选装的防火墙，反间谍软件可有可无。而且现在杀毒软件都附加了很多功能，比如防火墙、系统监控等，专门去安装反间谍软件就没什么必要了。”中国网络通信集团公司江苏省分公司增值业务部技术主管陈剑也认为：“现在安全部署的重点还是防病毒产品、入侵检测系统和流量分析软件。”持这种观点的人不在少数，《信息周刊》“2005年中国企业信息安全调查”显示，只有18%的中国受访者表示，公司采用了防间谍软件。

　　然而在美国，间谍软件的危害已经引起了足够的重视。陈联说：“从2004年开始，反间谍软件已经成为一个专门的信息安全市场。”根据研究公司Radicati集团的预测，全世界范围内企业在反间谍软件的花费将从今年的214万美元增加到2010年的14亿美元。普林斯顿大学电脑科学和公共事务教授爱德华·费尔腾(Edward Felten)感叹道：“现在我去那些网站已经很小心，我不敢去小公司的网站，不敢使用不认识的网站提供的软件，但这种谨慎也意味着一些机会的丧失。”反间谍软件的普及有赖于用户意识的提高。

　　危害巨大

　　虽然企业不一定已经遭受实际损失，但无孔不入的间谍软件正在成为网络犯罪的温床。趋势科技(中国)有限公司技术总监蔡 钦说：“2005年没有出现类似以往大规模的病毒爆发，2004年以前的网络危害很少牵扯到个人用户，即使有也是类似CIH病毒那种格式化用户硬盘的破坏行为，而现在流行的间谍软件、钓鱼式攻击等危害则瞄准了用户的信息。”

　　通过记录用户键盘敲击的指令，记录用户电脑屏幕的画面和分析用户互联网浏览器中的Cookie文件等方式，间谍软件一方面能够获取用户的隐私，另一方面能够获得有经济价值的信息。2006年3月，一对通过制造间谍软件牟利的以色列夫妇受到起诉。这对夫妇制造了一种含有特洛伊木马的间谍软件，然后将它卖给私人侦探社，侦探社再通过这个间谍软件为他们的客户监视商业上的竞争对手。受害者遍布汽车进口商、电视台和公关公司等各行各业。

　　不仅是网络犯罪，一些正规的公司也在将间谍软件作为控制用户行为的一种手段。去年索尼博德曼唱片公司(Sony BMG)在音乐光碟上加入的防拷贝功能采用了Rootkit技术,这种软件通常被黑客用来隐藏恶意代码，不被反病毒和反间谍软件发现，并且用户无法清除这个防拷贝程序。这一行为被发现后，遭到了用户、研究机构和法律人士的强烈反对，索尼博德曼唱片公司最终收回了这些光碟，并且告知用户如何去清除这个程序。

　　无孔不入

　　像索尼博德曼唱片公司这样通过音乐光碟传播并不是间谍软件的主要传播方式，软件捆绑、网站浏览和电子邮件三种方式使得间谍软件无孔不入。软件捆绑方式是间谍软件进入用户电脑的主要方式。用户在安装某种软件的同时，其中含有的间谍软件程序就会自动安装。陈联说：“一般这种软件就是业界所说的灰色软件。”软件发布者一般会在长长的使用许可协议中给出几句话的声明，但几乎没有人会逐字逐句看完这些冗长的协议，而当用户点击了“同意”或“接受”，同时也就意味着接受了发布者的声明。

　　网站浏览的方式主要是在用户浏览了一些含有间谍软件程序的网站或者黑客网站的情况下，自动被安装间谍软件。而通过电子邮件发送的间谍软件程序越来越多，比如去年在美国广泛传播的情人间谍软件(LoverSpy)。只需要花费89美元，买家就能够在制作者佩瑞兹·麦拉瑞(Perez Melara)的网站上购买到LoverSpy，然后买家选择一种包含有间谍软件的电子

　　对于间谍软件，即使用户十分谨慎也很难防范。陈联说：“目前广泛使用的

　　按访问扫描

　　虽然企业目前采用的反病毒软件和防火墙能够检测出一般的间谍软件，但是对一些新的变种和伪装巧妙的间谍软件却无能为力。

　　趋势科技(中国)有限公司技术总监蔡 钦说：“对于反间谍软件来说，传统的特征码和记录恶意URL的方法形同事后诸葛亮。”通过互联网，人们能够快速便宜地买到间谍软件，并且能够在免费网站上进行验证，确保这些间谍软件不在安全厂商的黑名单上。

　　改变这种“事后诸葛亮”的方法是实现按访问扫描，即在间谍软件安装到用户电脑之前，对内存中运行的进程进行扫描，实时检测、警告和拦截潜在的恶意程序的安装。平时结合网络访问控制，在网关层面实现集中管理，过滤 HTTP和FTP流量，监测异常的数据传送，防止员工浏览带有间谍软件的网站，并对下载完的程序先进行扫描。对于经常需要移动的

　　虽然部署专门的反间谍软件效果明显，但在中国，反间谍软件还只是反病毒软件的一个附带功能而已。蔡 钦说：“由于间谍软件不威胁到公司的业务连续性，而且所有的反病毒厂商都宣称自己的软件具有反间谍软件的功能，因此，专门部署反间谍软件的中国企业目前还是非常少。”

　　对中国企业来说，间谍软件似乎还不是一个需要花费1万美元来解决的大问题。上海恒荣国际货运有限公司的高宏飞说：“我们也用过微软公司(Microsoft)免费提供的反间谍软件和其他一些免费的反间谍软件，感觉用处不大，而且又比较占用资源，用了一段时间后卸载了。”基于这种情况，Mcafee公司亚太区产品总监陈联预测，反间谍软件在中国的普遍应用还需要1~2年的时间。