"流氓安全软件"终极防御教程

　　近两年来，流氓安全软件(假冒安全软件)正迅速成为网络罪犯最有效的赚钱工具。成千上万用户由于缺乏对假冒安全软件的基本认识，导致自己成为骗局的牺牲品，每天被诈骗的资金数目都高达数十万美元。

　　这样的结果毫不奇怪，到2009年为止，第3季度成为流氓安全软件商业模式发展的新高峰，其提供的收入分享方案，不仅导致了网络犯罪率的上升，而且凭借金钱带来的魅力让网络犯罪的模式变得更加错综复杂。

　　我撰写该教程的目的就是告诉互联网用户什么是流氓安全软件，安装它会带来什么样的风险，它看起来象什么，它的流通渠道是什么，以及最重要的，在当前版本的流氓安全软件中99%是依靠社会化工程模式来进行传播的这种情况下，如何辨别、避免和发现它的真实情况。

　　什么是流氓安全软件?

　　通常来说，流氓安全软件就是我们说的rogueware，换句话说，就是假冒的安全软件，它看上去象是一个合法的应用软件，可以在最终用户访问受到破坏的网站(索尼游戏站的官方站点就受到了SQL注入攻击，让最终用户跳转到流氓安全软件的控制中)，恶意广告(MSN挪威的Flash就受到了这样恶意广告的感染;在Cleveland.com上也弹出过假冒的Antivirus　XP窗口;福克斯新闻网站上也出现过恶意广告;纽约时报网站上也出现过乌克兰“球迷俱乐部”内容的恶意广告)，或者对搜索引擎进行恶意优化(流氓安全软件会将911的相关关键字进行劫持;在2009年进行搜索变成最危险的事情;网上最容易带来威胁的搜索关键词)，试图欺骗最终用户以为他们的计算机户已经感染了恶意软件，而购买该应用程序将帮助他们摆脱危险。

　　一旦安装了某些版本的流氓安全软件，合法安全软件的加载将受到阻止，最终用户将无法获得最新的数字签名数据库并进行更新。此外，为了防止被清除，它将极力阻止系统工具和第三方应用程序的检测。

　　某些情况下，流氓安全软件会包含了勒索工具，它会将已感染用户机器上的文件进行加密，只有向它们交纳解密费用后，用户才能继续使用文件，这样的流氓安全软件通常包含了嵌入的客户端攻击工具。

　　到目前为止，出现的所有流氓安全软件都是针对微软Windows用户的。

　　流氓安全软件的特色——模式识别的骗局

　　对于流氓安全软件来说，它们通常采用标准发布模式的原因是可以进行欺骗性广告。这样的话，它就可以轻松地帮助你发现安全问题的存在，并作出购买的选择。

　　例如，大多数流氓安全软件网站都会通过使用“不可点击”的知名网站和绩效评估服务的图标来让其真实性显得更为有效，举例来说，个人电脑杂志编辑选择奖、微软认证合作伙伴、国际计算机安全协会实验室认证、西海岸实验室认证、SoftPedia认证、CNET编辑推荐认证，以及ZDNet评测——而真正的ZDNet评测对流氓安全软件的存在是一无所知的。

　　进行欺骗活动时，还有一种流行的社会化工程模式是虚构的比较模板，其基本内容是在图表中显示出流氓安全软件的效果比一流安全公司提供的软件还好。

　　由于最终用户决定购买的时间是处于冲动状态中，因此，不会对这些信息进行详细的复查，从附图中我们可以看出三种不同的流氓安全软件(病毒盾牌2009、Windows安全套件和恶意软件分析2009)采用的都是同一种比较模板，来显示它们比合法的安全软件更强大有效。

　　通过模拟的实时防病毒进度对话框让我们处于无所不在的恐惧中，也是社会化工程欺骗模式中常见的手段，实际上，这仅仅是一个简单的静态脚本而已，但导致的结果就类似苹果机用户展示Windows中我的文档文件夹窗口。

　　显示的扫描结果实际上属于静态虚构的，并且实际上并没有访问硬盘上的数据，所谓的“你被感染了!;Windows已经被感染;警告：发现感染的恶意软件;发现恶意软件的威胁”，都仅仅是在散布恐惧的策略而已。

　　免费提供在线恶意软件扫描工具的合法厂商有(这份列表并不全面，仅仅列出了主要的厂商)：

　　Ø 趋势科技HouseCall在线扫毒

　　Ø 卡巴斯基在线恶意软件扫描

　　Ø F-Secure在线恶意软件扫描

　　Ø ESET在线恶意软件扫描

　　Ø 比特梵德在线恶意软件扫描

　　Ø 熊猫安全云防毒

　　Ø 迈克菲在线恶意软件扫描

　　Ø 瑞星在线恶意软件扫描

　　Ø 道特韦伯在线恶意软件扫描

　　Ø 赛门铁克在线恶意软件扫描

　　Ø 冠群在线恶意软件扫描

　　流氓安全软件的主要特点是网站设计非常专业，并通过比较模板展示原有品牌存在的问题来诱惑用户选择它们。总的来说，在社会化工程手段的帮助下，这样的骗局是非常有效的，每天都可以找到数以千计的上当者。

　　流氓安全软件传播时采用的渠道和方式

　　实际上，你遇到的有很大几率是突入其来的流氓安全软件。网络犯罪分子时刻不停地寻找新手段和方法来发布恶意软件，目前就有几种比较流行的发布方式。下面，我们就来了解一下。

　　Ø 黑帽搜索引擎优化(SEO)——对于大部分网络犯罪分子来说，黑帽搜索引擎优化仍然是首选的流量控制模式，它可以快速进行关键词劫持操作，将流量迁移到流氓安全软件上。这种模式的具体实现方式是，网络犯罪分子利用数十万关键词进行域名劫持。当认为该内容是合法有效的用户访问时，将会被自动重定向到一个虚构的实时防病毒扫描屏幕上。

　　该主题的相关性将自动通过类似谷歌趋势等公共服务进行调整，以确保出现的是特定事件的窗口，以便为流氓安全软件的劫持活动提供帮助。在这里，需要指出更重要的是，与所有活动的关键都依赖于最终用户的轻信，手动下载并执行相比，流氓安全软件也可以利用客户端的漏洞自动感染并进行攻击。

　　最近比较流行的黑帽搜索引擎优化模式有：采用911相关关键字劫持的流氓安全软件;采用联邦法律主题的黑帽搜索引擎优化模式的流氓安全软件以及新闻主题的黑帽搜索引擎优化模式的流氓安全软件。

　　Ø 系统滥用社会化网络/Web　2.0服务——没有一个社会化网络/Web　2.0服务不被流氓安全软件滥用。从Twitter、Scribd和Linked到Digg以及谷歌视频，所有的服务都被流氓安全软件发布者通过外包验证码识别技术获得的数以百计帐户所滥用，从而成为流氓安全软件推广的重要组成部分。

　　Ø 恶意广告(Malvertising)——恶意广告是利用最终用户对合法站点的信任，在广告中添加恶意代码，导致访问者受到恶意网站的攻击。突如其来的恶意广告目前呈现高发的趋势——Cleveland.com网站上弹出过假冒的Antivirus　XP窗口;福克斯新闻、Digg、MSNBC和新闻周刊的网站上都出现过流氓安全软件的恶意广告。

　　Ø 通过Conficker和Koobface等最常见的僵尸网络进行传播——在过去的几个月中，我对Koobface僵尸网络团伙的活动情况进行了跟踪，结果发现他们不仅是通过黑帽搜索引擎优化的最活跃的网络犯罪犯罪，而且，至少暂时也发现了他们在受到Koobface感染的主机上直接安装流氓安全软件。尽管目前僵尸网络是处于闲置状态中，但是作为数以百万计感染主机的控制者，他们已经进行了三次赚钱的尝试，将连接转售与两个不同的帮派，而且还试图在网络中安装流氓安全软件。

　　现在我们知道了什么是流氓安全软件，以及它是如何出现在你的计算机中的了，对于安全社区来说，是时间进行进一步的分析，找出一些方法来辨别、避免并清除它了。

　　辨别、避免和发现流氓安全软件

　　找出害群之马并清理掉它们

　　由于流氓安全软件始终处于不断的动态更新和重新发布的状态中，因此，通过名称列表来确认、阻止和清除它们是极不现实的。

　　因此，在这种情况下最合理的做法就是将合法反病毒软件厂商加入一个列表中，并且对不在列表中的软件进行监视。通用计算安全标准论坛(CCSS)提供了这样的一个列表，目前包含了下面一些厂商：

　　安博士(V3)

　　安天实验室(Antiy-AVL)

　　阿拉丁(eSafe)

　　ALWIL(Avast!防病毒)

　　Authentium(Command防病毒)

　　AVG技术(AVG)

　　红伞(小红伞)

　　Cat　Computer　Services(Quick　Heal)

　　ClamAV(ClamAV)

　　Comodo(Comodo)

　　冠群(Vet)

　　道特韦伯有限公司(大蜘蛛反病毒软件)

　　EMSI软件(a-squared)

　　Eset软件(ESET　NOD32)

　　飞塔(Fortinet)

　　FRISK软件(F-Prot)

　　F-Secure(F-Secure)

　　G数据软件(GData)

　　黑客软件(The　Hacker)

　　蓝锐(蓝锐)

　　依卡路斯软件(Ikarus)

　　INCA　Internet(nProtect)

　　K7　Computing(K7防病毒)

　　卡巴斯基实验室(AVP)

　　迈克菲(VirusScan)

　　微软(恶意软件保护)

　　诺曼(诺曼防病毒)

　　熊猫安全(熊猫铂金防病毒)

　　PC工具(PCTools)

　　Prevx(Prevx1)

　　瑞星杀毒软件(瑞星杀毒Rising)

　　Secure　Computing公司(SecureWeb)

　　比特梵德公司(比特梵德BitDefender)

　　Sophos(SAV)

　　Sunbelt软件(Antivirus)

　　赛门铁克(诺顿防病毒)

　　VirusBlokAda(VBA32)

　　趋势科技(TrendMicro)

　　VirusBuster公司(VirusBuster)

　　VirusTotal公司也提供了一个合法的防病毒软件供应商选择列表。

　　如果你真正关心安全，在意数据，就不会将计算机数据的完整性交给防病毒医生2008、间谍软件清理者2009、强力防病毒工具、全面病毒防护工具、恶意软件清理工具2009、数据清理工具2009、智能防病毒工具2009、防病毒工具专家版或高级防病毒工具2009之类的程序，不是么?

　　辨别流氓安全软件的另一种可行方法，是利用Google.com对潜在的恶意域名进行研究分析，或者利用谷歌提供的Anti-Malvertising.com项目进行进一步搜索。该搜索引擎使用的是包含了流氓安全软件相关域名信息的数据库，大大增加了可疑域名被发现的可能性。

　　对于最终用户来说，需要牢记的是，要对屏幕上出现的弹出窗口进行完全控制—尽管关闭它们实际上并不费劲—下载执行之前，一定要对其进行扫描，确保其安全性的最好选择是VirusTotal.com之类的多杀毒引擎网站。对于遍布全球的数百万用户来说，这个方法可以阻止恶意软件的大量传播。

　　从截图中我们可以看出，尽管你的防病毒工具不是流氓安全软件，但系统中还是存在其它几种流氓安全软件。

　　避免和防止流氓安全软件传播

　　对于现实世界中的病毒爆发事件来说，预防的效果远胜于治疗。在网络世界中，道理也是一样的，为了防治流氓安全软件，火狐浏览器提供了NoScript之类的插件，在流氓安全软件进行活动的时间予以清除，所有已经被发现的流氓安全软件都会被清理掉。

　　依靠社会化工程技术进行的欺骗行为，特别是散布恐惧的手段，以及作为一种商业模式在很大程度上推动了这一近乎完美的社会化工程诈骗行为的发展;对于最终用户来说，对事件保持警惕，不轻信外来信息忽视常识是最好的保护方法。

　　你是否成为过流氓安全软件的受害者，在浏览合法网站的时间，是否经常遇到流氓安全软件窗口的弹出?你认为数以千计的用户轻易上当购买流氓安全软件的主要原因是什么?他们缺乏警惕性，容易轻信别人?