解除困惑：流氓软件应该如何判定？

ZDNet安全频道原创翻译 转载请注明作者以及出处

不少恶意软件扫描工具本身就是一种恶意软件，这已经不是什么新鲜事了。但是这二者之间肯定还是有所区别的，到底区别在哪里呢?本文将就此展开讨论。
--------------------------------------------------------------------------------------------

　　最近我一直在研究恶意软件以及如何删除恶意软件。我也经常看到很多读者在评论或邮件中表示恶意软件以及恶意软件删除工具这两者其实很难区分。这也是我写作本文的目的。

　　了解你的敌人

　　我曾经不止一次遇到这样的问题：你如何保证如今这些不断出现的新病毒，不是那些宣称能保护我们信息安全的杀毒软件公司自己开发出来的呢?老实说，这确实是一个不错的商业计划：先制造出麻烦，在将解决方案推向市场。如果我没记错，以前看到过一个电影的剧情就是基于这一想法的。

　　在我的工作中，认识了很多在Symantec, McAfee,以及其它杀毒软件公司工作的朋友，他们真的是非常痛恨恶意软件。另外，如果杀毒软件公司真的在自己制造病毒，这种事情一旦曝光，舆论的压力会让这个公司无法生存下去。

　　不佳的现状

　　具有讽刺意味的是，恶意软件开发者们正在使用合法的反病毒软件公司所开发的代码来制作新的恶意软件。我不得不承认，这是个精明的计划。下面我提到的几个场景肯定会引起你的共鸣。

　　我的电脑工作起来不太正常。会突然冒出很多广告窗，将整个屏幕塞满。这肯定是有问题的，但是我的杀毒软件却毫无动静，我该怎么办呢? 我必须要完成我的工作，但是只有这台被感染的电脑才安装有我工作中需要用到的Adobe Acrobat。

　　好在我还有一台电脑，于是我用这台备用电脑上网，试着找一款不同的扫描软件帮我杀掉电脑中的病毒。很快，我找到了所需的软件。起码从软件的介绍来看，它确实能够解决我电脑出现的那种问题。但是实际使用起来效果如何，就不得而知了。

　　场景我就描述到这里了，是不是听上去很熟悉，我们很多人都遇到过这种情况 。另外，Brian Satterfield 在他的IT安全文章 《欢迎来到谎言之城：流氓反间谍软件程序》中，还描述了很多常见的情况。 看上去，带有很多恶意软件代码的流氓软件打着反恶意软件的旗号大行其道了。

　　我怎么知道?

　　现在回到很多人问过我的问题。你怎么知道你所下载并安装的杀毒软件就是安全的呢? 在这方面，我和Satterfield的想法是一致的，我们发现很多网站都在及时公布恶意软件信息。大家只要对照该网站，检查一下就知道自己下载的程序是不是流氓软件了。

　　流氓软件列表

　　· 开发CounterSpy软件的Sunbelt Software公司有一个网站，上面公布了397个 流氓安全软件 。 我自己使用 Sunbelt Software 的产品有很多年了，对这家公司也非常放心。

　　· Spyware Signatures 对于 流氓软件 有一个庞大的列表。事实上，由于数据量太大，因此用搜索引擎会更方便一些。Spyware Signature的主要功能是给开发反恶意软件的安全公司提供相关的数据。因此这套数据是及时更新的，对于大家来说会更有价值。

　　· 我最喜欢的恶意软件扫描工具是Malwarebytes.org的 MBAM ，它拥有一个叫做最新流氓软件的列表。它和前两种列表有所不同，是在论坛中公布，并由用户参与产生的。说实话，这是我判断一个软件是不是流氓软件首先要参考的列表。

　　以上我提供的三个参考列表，但是肯定还有一些我不知道的优秀列表，我也很希望大家能在文章后面的评论部分推荐自己认为优秀的恶意软件列表。

　　补 充

　　也许你会奇怪为什么我会在文章前面添加那个图片。 原因是这样的，当我在为写作本文而上网搜集信息时，我发现了由Alex Dragulescu建立的一个叫做 MessageLabs的网站 。这个网站上提供的工具可以让我将恶意软件和一副图片融合在一起。Dragulescu 对此的解释是：

　　“这是可以看的到的蠕虫，病毒，木马和间谍软件代码。对于病毒的每一段代码，API调用，内存地址以及子程序，都会被跟踪和分析。它们出现的频率，密度，以及分布等信息数据都会被作为参数输入某个算法中，并由此生成三维实体图像。”

　　总 结

　　我希望今天我提到的流氓软件列表会对大家有所帮助。当然，我知道这种方式不是解决流氓软件的完美方案，甚至根本谈不上完美。我只是希望能够抛砖引玉，大家一起分享对抗流氓软件的经验，以及提供更好的流氓软件列表。