流氓软件综述：安全史上“最牛钉子户”

　　虽然流氓软件的产生，已经有些年头，但是流氓软件名称的出现，才不过两年时间。流氓软件产生之初，背着沉重的道义包袱，被人们口诛笔伐，然而如今，流氓软件早已成为一种新的商业模式，在利益的引导下，在杀除流氓的呼声中，逐渐壮大，流氓软件还会如何发展，这是摆在每个网民面前的疑问。

　　我不是流氓

　　流氓软件又是一个中国特色的产物，在外国没有对应的名词，不过，在流氓软件的名称正式出现之前，国外早已经出现了各种跟今天流氓软件相似的恶意程序，由于它与如今国内的流氓软件无论在功能上还是复杂程度上，都无法相比拟，因此姑且称它们为类流氓软件。

　　这些类流氓软件，又被细分为若干个类，它们是广告件(ADWare)、色情件(PornWare)、间谍件(SpyWare)、行为记录件（TrackWare）等。

　　广告件是那种未经用户允许，下载并安装在用户电脑上，或与其他软件捆绑，通过弹出式广告等形式牟取商业利益的程序。色情件是指那种能够自动登陆黄色网站，或者自动帮助用户拨号，给用户带来巨额话费的一类程序。间谍件是能够在用户不知情的情况下，在电脑上安装后门、收集用户信息的程序。行为记录件就是那些键盘记录器，它们往往记录用户电脑使用习惯、网络浏览习惯等个人行为，软件的编写者借此分析出用户的帐号密码等信息。

　　这类程序在国外一般统称为间谍件，或者统称为广告件，一般反间谍件的软件或者反广告件的软件都能对上述程序进行查杀。微软在2004年底收购的GIAT公司，就是一家这样的反间谍软件公司。

　　这类程序往往有一个共同的特点，就是会不经过用户同意悄悄地隐藏到用户操作系统中，在用户上网的过程中激活，然后再通过网络来达到软件的自的。然而在3721插件出现并成长之前，这些恶意程序并没有形成多大气候，它们只是病毒的一个小的子集，在数量和重要性方面，甚至还比不上脚本病毒。因为这时候，人们的视线都在被象冲击波、红色代码这样的网络蠕虫吸引着，另一方面这类程序本身又不具备自动传播的功能，因此并没有引起用户和反病毒厂商的重视。

　　谁也没有想到，这种一没有传播，二没有明确破坏目的的不起眼的软件，会成长为一个巨无霸式的体系，更没有想到，这类程序会即会成长为社会公害，又成为一个巨大的利益来源。

　　别人说我是流氓

　　3721插件是互联网第一的流氓软件，这是不争的事实，也正是3721插件令人反感的一些做法，引发了一场声势浩大的反流氓软件运动，直到现在。而3721之于流氓软件的作用，更是不能不说。

　　3721插件最初只是一款提供中文实名上网的一个小工具，出发点是"让中国人能用自己的母语上网"，它的安装和卸载都不困难，人们也乐于使用这样的小工具，许多企业都在积极申请中文实名，一些企业还把中文实名印制在名片上，甚至连学校都把中文上网作为一项必修的知识教给学生。

　　然而不知道是资本的压力还是利益的驱动，使得3721在推出上网助手之后开始作恶，那大概是在2002年前后，它开始不顾一切地掠夺着互联网上的节点资源，通过网页漏洞、软件捆绑、网站联盟等方式迅速占领用户电脑。在技术上以驱动的形式注入系统，多个进程和文件互相守护，以防止一些专业用户手工删除，同时也阻止了一些反病毒软件的清除。3721的清除在当时已经成为一个大的技术问题，许多论坛都贴出了手工清除3721的教程，其步骤有数十个之多，3721对系统的控制程度，由此可见一斑。这种做法的直接后果是，3721控制了当时互联网90%的电脑用户。

　　虽然网络实名给用户带来了方便，但是上网助手的不友好的作法，使得声讨3721的呼声越来越高。不过，由于当时还没有规范这类程序的标准，反病毒公司都不为所动。在2004年，卡巴斯基第一个将3721列为病毒，虽然那一刻，网民们都大呼过瘾，但是不到一周的时间，在新的病毒库升级后，又将3721的特征码去掉了，可见那时对象3721这样的程序是否定性为病毒，反病毒厂商们还没有达成共识。

　　也许是作恶太多，3721急于想漂白自己，于是在2004年的时候正式推出了木马助手，木马助手虽然采用一些原始的手段来识别网络恶意程序，却逐渐赢得了口碑。然而就在此时，流氓软件的新高潮也已经到来。

　　先是DUDU下载加速器风波，猫扑陈一舟属下的两家网站，采取“恶劣的手段，用软件捆绑的方式，给用户安装弹出广告软件，可能涉及高达3000万互联网用户”。用户表面是安装了一个用于下载加速的DUDU加速器，实际上在用户卸载了DUDU加速器后，依然会在电脑中留下一个名叫DMCast的壳，这个壳会在需要时继续弹出广告，陈一舟为了这个壳还专门成立了桌面传媒网。

　　接下来，以桌面搜索门户为卖点的中搜开始在网络猪里集成流氓软件；搜狐、百度推出了相应的插件；电子商务元老8848也开始在网页里集成霸道的流氓插件，并因此还染上了官司。

　　这一系列的动作将流氓软件推上了一个新的高峰，却迎来了一场反流氓软件的暴风雨。2005年5月，国内反病毒厂商瑞星突然开始发力，联合软件行业协会，挑起了一场声势浩大的反流氓软件运动，并联合十几家互联网企业共同签署了行业自律条约，流氓软件的名称便从这时正式出现。紧接着发起了“将用户的权力交还给用户”的活动，正式推出反流氓软件卡卡助手。这些活动一经出台，便得到了网民们的热烈追捧，最后演变成一场反流氓软件的全民运动。

　　至此，十大流氓软件评出，3721高居榜首，至此，杀毒厂商开始明正言顺地对这些流氓软件进行绞杀。

[NextPage]

　　我说自己是流氓

　　反病毒软件正式对流氓软件进行宣战，这不但没有使流氓软件有所收敛，反而使流氓软件更加繁荣，正式形成一个地下产业，而3721终于隐于雅虎的光芒之中，随着奇虎的出现，更加难以让人再想起它。

　　3721缔造的财富神话使得中国互联网出现了新的一轮淘金热，这是在其它国家互联网难得一见的盛况，无数个小的流氓软件团体如雨后春笋般冒了出来，而且采用的技术也越来越先进，有许多流氓软件已经运用了RootKit技术来躲避反病毒软件的追杀，还有一些流氓软件，已经开始利用碎片技术保护自己，只要有一个碎片没有被杀掉，就能通过该碎片借尸还魂，继续作恶。甚至有些流氓软件已经采用了写固件的方式，通过藏身于主板而达到再生的目的。

　　而流氓软件的作者也不再象流氓产生之初，大喊自己是正常程序，当被杀毒软件查杀时，四处哭诉自己是清白的，是被冤枉的。现在，他们介绍自己的时候，很直接就会表明自己是做流氓软件的，而且当被杀毒软件查杀时，他们只是在新版本的升级中采用更高级的手段来躲避查杀。

　　因为与其此地无银三百两地无病呻吟，不如真正从技术上来延长自己的生命。而如今流氓软件产业已经精细化到了可以按照每个用户的个人喜好来定制弹出广告的地步了。可能对于某些人来说，他电脑上的广告窗永远也不会弹出，而对于另外一些人来说，可能在搜索某种疾病时，自动为他们弹出相关药品的广告。而流氓软件的生命周期，也已经被精确地计算到了七天，也就是说，一个流氓软件在一个用户电脑上最多存活七天，在七天之内，流氓软件不但要解决如何按照用户的需求弹广告，还要解决如何在七天之后还能继续生存下去。

　　这就是流氓软件的现状，它们与杀毒软件的抗衡，还将继续下去，因为流氓软件的财富神话，还吸引着每个流氓软件的作者，也确实使他们获得了巨大的经济利益。

　　链接1：流氓软件的定义

　　中国互联网协会对流氓软件的定义：

　　是指在未明确提示用户或未经用户许可的情况下, 在用户计算机或其他终端上安装运行, 侵犯用户合法权益的软件, 但已被我国现有法律法规规定的计算机病毒除外。

　　ITwiki对流氓软件的定义

　　流氓软件是中国大陆对网络上散播的符合如下条件（主要是第一条）的软件的一种称呼：

　　1、采用多种社会和技术手段，强行或者秘密安装，并抵制卸载；

　　2、强行修改用户软件设置，如浏览器主页，软件自动启动选项，安全选项； 强行弹出广告，或者其他干扰用户占用系统资源行为；

　　3、有侵害用户信息和财产安全的潜在因素或者隐患；

　　4、未经用户许可，或者利用用户疏忽,或者利用用户缺乏相关知识，秘密收集用户个人信息、秘密和隐私。

　　中国反流氓软件联盟的定义

　　凡是具有以下流氓行径：

　　1、强行侵入用户电脑，无法卸载；

　　2、强行弹出广告，借以获取商业利益；

　　3、有侵害用户的虚拟财产安全潜在因素；

　　4、偷偷收集用户在网上消费时的行为习惯、账号密码。则均属于流氓软件。