自2005 年6月,瑞星对“流氓软件”宣战以来,互联网上流氓软件肆虐的问题,成为媒体、用户和业界专家关心的焦点之一。那么,流氓软件究竟是如何产生、发展的呢? 仔细回顾流氓软件的发展历史,大致可以概括为:“恶意网页代码”、“插件推广”、“软件捆绑”和“流氓软件病毒化”四个时代。
一、恶意网页代码时代(2001年~2002年)
自2001 年开始,某些黄色网站和中小网站通过“修改用户浏览器主页”的方法提高网站访问量。它们在其网站页面中放置一段恶意代码,当用户浏览这些网站时,用户的 IE浏览器主页会被修改。当用户下次打开浏览器时会首先打开这些网站,从而提高其访问量,这一做法在当时非常流行。
由于“修改用户浏览器主页”只是对IE浏览器进行简单的设置,用户可以将首页重新改回来,因此“修改用户浏览器主页”的方法并没有完全实现这些不良网站的推广企图。
随后,不少中小网站开始采用更加恶意的方法。它们通过恶意网页代码直接对用户计算机的注册表进行修改,对一些系统功能进行限制。这一时期,有一个名叫“万花谷”的网站较有代表性。该网站会将用户的浏览器首页修改为“http://www.on888.home.chinaren.com/”,将IE标题改为 “欢迎来到万花谷!”,同时它还会禁用“IE设置”、注册表编辑器、DOS等十余项系统关键功能。这一做法给用户带来很大困扰。同时,瑞星杀毒软件等反病毒软件也纷纷将此类代码当作病毒进行处理。
针对这一情况,瑞星公司研发出“网页监控”和“注册表监控”两大技术,并将它们全面应用于杀毒软件当中,从根本上解决此类问题。同时“瑞星注册表修复工具” 也开始对社会免费发放,以解除此类恶意代码对用户计算机的限制。逐渐,恶意网页代码方式失去了生存空间,被上述不良网站所遗弃。
二、插件时代(2003年~2005年)
从2003年开始,中国互联网出现了一种叫做“中文上网”的新业务形式。“中文上网”的作用是将中文解析成对应的网址,使用户输入中文的公司或网站名称时能够打开它们的网站,而提供“中文上网”服务的公司借此盈利。
要想实现“将中文解析成网址”,需要在用户的计算机上安装一个插件程序。因此“中文上网”要想提升其品牌价值,就必须将插件安装到尽可能多的计算机上,占领客户端。“中文上网”通过与大量的网站进行合作,放置其插件程序,当用户访问这些网站时就会被自动安装上“中文上网”插件,并且无法卸载。
由于“中文上网”取得了巨大的经济收益,促使一些其它的厂商也推出了具有同质化功能的插件程序。为了争夺市场,提供“中文上网”业务的公司之间开始“互杀”,软件安装后会试图删除竞争对手的插件,将用户的计算机变成战场,甚至一些厂商为此对簿公堂。由于插件间的恶性竞争,在“互杀”的过程中往往造成用户计算机频繁死机、蓝屏。
到了2005年初,越来越多的国内互联网厂商从“中文上网”厂商间的竞争中,认识到插件推广的绝佳效果,于是纷纷推出自己的插件。这使得用户在浏览一些网站时,常常被安装了无数个插件、工具条软件。随着这种情况愈演愈烈,用户开始控诉此类插件,并形象地将这些不请自来的软件称之为“流氓软件”。
三、软件捆绑时代(2005年至今)
2005 年6月28日,瑞星发布“卡卡上网助手1.0版”,这是国内第一款由专业信息安全厂商发布的反流氓软件工具,它集“反浏览器劫持”、“反恶意插件”、“广告过滤”等功能为一体,功能强大。一经发布即受到网民追捧,每天的下载量高达30万次,短短十余天内即拥有了300多万用户,给通过网页安装插件的流氓厂商带来了沉重的压力。
在瑞星卡卡上网安全助手1.0等反流氓软件产品的打击下,一些互联网厂商被迫寻找新的推广方式, 于是他们开始尝试用共享软件捆绑的方式,向用户的电脑中安插流氓软件。这些厂商网罗了多种知名共享软件的作者,将自身的产品与共享软件捆绑,并支付一定费用。当用户安装这些共享软件时,会同时被强制安装“流氓软件”,且无法卸载。
由于中国的共享软件体制尚不完善,盗版问题仍然比较严重,很多共享软件刚一推出即遭到破解。共享软件作者很难从软件注册费中获取收益,因此纷纷通过推广流氓软件来牟利。这一时期曾经出现过一个共享软件捆绑安装十余个流氓软件的情况。另一方面,有的消费类厂商由于通过流氓软件弹出广告覆盖面广、营销对象确定、利润来源稳定,也开始给流氓软件发布者投放广告,这使得整个流氓软件产业形成了完整的链条。
作为国内信息安全领域的领导者,瑞星公司一直对流氓软件产业进行着密切的关注,并进行了先期的准备性研究。当年,瑞星联合十余家业界厂商,共同发布了《规范软件产品行为倡议书》、《软件产品行为安全服务规范》,呼吁软件业界对自己的行为进行自律。该行动引起了广大媒体、网民和业界专家的热烈响应,在瑞星网站设立的流氓软件调查中,有一百余万网民投票,表达了对这种现象的不满。同时,数万网民在网站留言,对数十种流氓软件进行了投诉。
但是,由于流氓软件处于病毒与正规软件中间的灰色地带,即其虽然带有强制安装、弹出广告、无法卸载等恶意特征,但也同时具有用户需要的一些正常软件功能。因此,很难将其定义为病毒。由于我国还没有针对“流氓软件”的相关法律法规出台,瑞星公司只能以发布自律书、软件编写规范的形势,来呼吁业界同仁自觉对流氓软件行为进行抵制。
随着“瑞星卡卡助手”的发布,给流氓软件厂商带来了一定的压力,但是并未从根本上彻底解决流氓软件问题,而由于利益驱动,越来越多的厂商开始采取流氓手段推广产品和网站,甚至通过占领用户的电脑发展起弹出广告业务。
四、流氓软件病毒化时代(2006年下半年至今)
迫于技术和舆论的压力,制作流氓软件的厂商开始两极分化。一些大牌互联网厂商逐渐“洗白”,将软件的“流氓”程度降低,还有一些厂商干脆放弃推广“流氓软件”。
然而,仍有大量的中小厂商是通过“流氓软件”起家的,通过“流氓软件”进行广告推广已经成为其公司的主要甚至是唯一的收入来源。2006年下半年开始,一些厂商为了生存,不惜铤而走险,使用更加卑劣的手段进行流氓推广,并且采用更加恶毒的技术公然向反病毒软件、反流氓软件工具挑战。
据瑞星公司客户服务中心的统计数据表明,从2006年6月开始,用户计算机由于流氓软件问题导致崩溃的求助数量已经超过了病毒。
这一时期的“流氓软件”有两大特点:
1、 编写病毒化
不少“流氓软件”为了防止被杀毒软件或流氓软件卸载工具发现,采用了病毒常用的Rootkits技术进行自我保护。Rootkits可以对自身及指定的文件进行隐藏或锁定,防止被发现和删除。带有Rootkits的“流氓软件”就像练就了“金钟罩”、“铁布杉”,不除去这层保护根本难伤其毫发。
更有一些流氓软件,采用“自杀式”技术攻击杀毒软件。一旦发现用户安装或运行杀毒软件,便运行恶意代码,直接造成计算机死机、蓝屏,让用户误以为是杀毒软件存在问题。
2、 传播病毒化
为了达到更好的传播效果,并减小成本,不少中小厂商直接使用病毒进行“流氓推广”。用户的计算机感染病毒后,病毒会自动在后台运行,下载并安装“流氓软件”。同时,“流氓软件”安装后也会去从互联网自动下载运行病毒。
大量的“流氓软件”开始使用电脑病毒来隐藏自身、进行快速传播、并对抗用户的清除,这些行为严重危害到用户的信息安全和利益。“流氓软件”和病毒之间的界限已变得越来越模糊。随着“流氓软件”不断朝着病毒的方向发展,要想彻底杀灭“流氓软件”就必须采用反病毒技术。
瑞星动用了公司最精锐的技术力量、投入了大量人力物力,对整个产业链进行分析和研究。经过近一年的精心准备,2006年11月14日,“瑞星卡卡上网安全助手3.0”正式发布,任何人均可以免费下载使用。瑞星卡卡3.0采用了“碎甲(Anti-Rootkits)”、“未知病毒查杀”、“Startup Scan”等杀毒软件核心技术,是国内第一款采用反病毒技术的流氓软件清除工具,能够干净彻底地铲除用户电脑中的“流氓软件”。