1 间谍软件给你带来的烦恼

"TrackingCookie"就是间谍软件。

假如你买了一台电视机，其中包括一个部件能够跟踪你观看的节目，然后将这些数据报告给出于广告目的或出售它的公司，但没有人告知你电视机中具有跟踪技术，或请求你的允许使用这项技术，你一定会很恼火。

朋友，您是否有过这样的情况，在上网时电脑的运行速度突然变慢，有时只上网浏览、不下载也没有其它任何操作的情况下，主机箱里"吱吱"直响，甚至也会出现死机现象呢？

如果发现了上述情况，您的电脑里可能已经潜入了间谍程序，不信您查一查。你对这种侵犯隐私权的做法很可能勃然大怒，但这种强行侵入的做法在互联网上却无时无刻不在发生，受到影响的人有数以百万计。许多网站，甚至部分受人尊敬的公司也会在你的电脑硬盘上放置一个叫做“tracking cookie”的秘密电脑文件。这个文件帮助互联网广告公司记录你上了哪些网站，然后将这些信息用于它们自己的商业目的。几乎在所有情况下，用户在下载tracking cookie时都没有获得任何提示，更不用说被询问是否可以安装了。

2 反间谍软件

幸运的是，先进的Windows反间谍软件都能够探测和清除这些tracking cookie，这是用户抵御这种侵袭的最好办法。

但现在，一些将这些文件放置在用户电脑硬盘上的公司开始抱怨这种防御措施，部分公司敦促反间谍软件企业停止探测和清除tracking cookie。他们认为秘密放置tracking cookie是合法的商业行为，tracking cookie不是真正的间谍软件，也没有害处。

不幸的是，对消费者而言，这个牵强的理由起到了一些作用。最为著名的一次就是微软在从一个叫做Giant的小软件公司手里购买了一款反间谍软件，并将其改名为Microsoft Windows AntiSpyware后，就移除了该软件探测和清除tracking cookie的功能。目前这款软件还处于测试阶段，但任何人都可以下载。另外一款反间谍软件Sunbelt Software的CounterSpy也具有探测和清除tracking cookie的功能。微软称，仍在评估在最终发布的版本中如何处理tracking cookie。

为了了解trackingcookie的问题，你需要大体了解一下Cookie，也需要知道间谍软件是什么。Cookie是网站经营者或在网站插入广告的第三方公司放置在用户电脑中的小文本文件。大多数cookie都无害，甚至会起到辅助作用。比如，cookie会帮助一个网站记住你喜欢选择浏览哪类新闻；在你允许的情况下，它还会存储你的登录信息，因此在你访问某个网站时不必每次都键入这些信息。反间谍程序不会探测和清除这些有用的cookie。不应将tracking cookie同这些cookie混为一谈。它们对用户没有任何益处，只是模糊地承诺你得到的广告是根据你的兴趣量身定做的。

3 间谍软件的定义

间谍软件有许多定义，但我给它的定义是两句话：间谍软件及相关的广告类软件是未经用户许可和没有通知、或以用户难以分辨的隐晦语言提示而安装在用户电脑上的电脑代码。一旦安装之后，间谍软件和广告软件就会改变电脑的行为，以符合外部团体而不是电脑所有者或用户的利益。

间谍软件和广告软件包括所谓的“浏览器劫持”程序，即重置你的浏览器使用的主页或搜索引擎，使用户转向间谍软件和广告软件的公司或其客户的网站。还有一些软件记录你的活动，并报告给其它团体。也有一些你面前弹出广告，即使在你没有浏览网页的情况下。

部分tracking cookie的传播者称，他们的cookie不是真正的间谍软件，因为它并不是无孔不入的程序，也没有“key loggers”等间谍软件那样具有破坏性。后者能记录和报告你的每次按键动作。还有人辩称，这些公司只是大多数用户的总体数据，并不收集个人身份数据。如果这些公司真的认为tracking cookie是合法的，他们就不应试图通过施压和游说活动使其合法化，而仅需光明正大地使用它们即可。他们应该在安装这类cookie时争得用户的许可，指出他们认为这些cookie能给用户带来什么好处。他们还可以向允许在其电脑上安装tracking cookie的用户提供补偿。

如果你不喜欢trackingcookie的出现，就运行能够探测和清除它们及其它自主安装的电脑代码的反间谍软件。毕竟，这是你的电脑。

4 间谍软件的感染途径及运作过程

随着各种防御技术的精进，间谍软件却还可以从夹缝中求生存的原因无他,使用者的因素占了相当的比重。大多数间谍软件是利用HTTP的服务进行植入与个人隐私数据的外泄，其次才是利用一般的邮件服务或是其它合法的通讯协议；这样的隐忧在于任何提供网络服务的单位与企业不可能将这些服务关闭，因为关闭将导致作业上的不方便与效能低下。因此一条条宽广的间谍之路就在合法掩护的情况下持续开放。

简单来说间谍软件的运作个别看起来都是相当的单纯，不外乎依附于网页背景中暗地植入，网络上不明流传软件的安装，依附于共享程序如(P2P)的使用等等。这些行为有很多伴随着商业行为，比如说强迫使用者点选某些网页或是浏览网站以增加网站点选率，或是当你在抓取档案的同时也开放了你硬盘中的数据；既然植入的管道是如此畅通，他的运作也就相对的顺畅；大多数间谍软件会自动依照设计主动地进行数据窃取与上传，少部分则是需要依赖某些特定行为的触发才会使它开始运作，当然这并不包括遭特定人士撰写的间谍软件类的攻击程序运作方式。

这些间谍软件的设计复杂度，远超过病毒，正因为如此，间谍软件时常改变在计算机中运作的方式而使得侦测间谍软件的技术远远复杂于病毒防治

5 间谍软件对企业/个人的影响

间谍软件是针对使用者为目标而来，因此渗透的影响也就从最基本的单机开始，但是不要小看只是针对单机而来，因为这也是最有效最直接的方式；即便您的企业或单位的外层是铜墙铁壁，只要提供上网浏览，他一样能进出自如。

通常间谍软件的影响，小从个人单机的网页工具列置换、浏览器首页被绑架、追踪个人上网行为、耗用频宽逐渐开始，严重到个人信箱曝光、账号密码被测录外泄、联机被绑架、植入跳板等。这些影响等级不一的行为绝大多数都在幕后进行，但是很多人可能不知道这些窃取的行为，甚至连网络银行或是加密过的密码也无一幸免。由上述可以略为看出间谍软件对个人/企业使用者的影响与日俱增，只是使用者并不了解而被忽略。下面是间谍程序的一部份影响列表。

对个人用户而言，减缓计算机的效能，计算机运作迟缓、开机时需要更长的时间才能完成，或需要较长时间才能连上网络。 举例来说，被安装有广告类别的间谍程序，就可能花上比平常多14 分钟以上的时间开机。

新的工具列：特定的间谍程序类别，例如浏览器劫持者，可以在您不知情的情况下，增加安装新的工具列到您的IE浏览器并自动上传本机相关的重要讯息。

新的桌面快捷方式：某些间谍程序可能增加新的快捷方式到您的桌面，让使用者在不知情的情况下误启动后续的植入程序。

非预设的首页：浏览器劫持者更改您预设的首页成不同的预设首页。有些首页劫持者可能防止您更改您的浏览器首页到它原有的设定或是禁止您浏览特定的网站，进而引导前往可能进行后续植入之网页而导致透过网页植入后续渗透程序。

不知名的搜寻引擎与结果：浏览器劫持者也可能更改您的网页搜寻结果，以及指示您到不在您搜寻要求内的指定的网站，而导致透过网页植入后续渗透程序。

非系统预设的错误网页：当您所键入的URL 找不到时，浏览器将会被“错误讯息劫持者(errorhijacker)”导引至新的错误讯息网页，而导致透过网页植入后续渗透程序。

持续不断的整页及弹出式广告：广告程序可以根据所追踪到的网页浏览习惯产生目标广告淹没您的计算机。广告程序可以减缓您的计算机速度到如同爬行，也就是所谓的“窗口炸弹式的攻击”。

对企业用户而言，除上述症状外尚包含下列项目。

网络效能的耗损：被植入间谍程序后，通常会影响不管服务器或是主机的网络速度以及因特网存取效率。例如，一台计算机上仅被安装有广告类别间谍程序的机器，就可能耗用较多的时间开机，明显地影响到员工与机组的生产力。

网络流量拥塞：植入后的间谍程序透过网络自动上传与接收数据，造成显著的耗用时间以及频宽的浪费与严重的信息外泄。

档案被修改/删除或账号密码被更改：有些类别的间谍程序会主动修改/删除某些档案或是更改本机的账号密码，以便于进一步的渗透植入与窃取所需要的信息。

失去对计算机的控制：某些特定类别的间谍程序，可以在植入后控制宿主的计算机甚至是整个网络。

以上这些影响只是众多间谍软件影响的一小部分，随着这些恶意程序的急速增加，间谍程序影响的手法将越来越复杂且不易被发现。

6 如何主动防御间谍软件的影响？

讨论了这么多关于间谍软件的影响，也就该谈如何主动地补强传统数据安全防御方式，这包括除了防毒、防火墙、防毒墙，以及入侵侦测与防御技术外，怎么提供多层次信息安全策略。以下是针对个人/企业使用者该具备的主动反间谍须知。

谨慎/避免使用免费反间谍软件。网络上林林总总的反间谍程序，令人无从选择。然而这些程序虽然会协助您删除一部分间谍程序，却常常在暗中植入后门程序造成更大的危害。

避免在同一机器中使用多重反间谍软件。网络上流传的免费反间谍程序大都偏重在各自的领域中，因此眼尖的使用者会发现单一的工具只能清除某些类别时，便会再上网搜寻其它的工具来安装，这样的例子其实是真实发生在国内的某些环境中。安装多套反间谍软件除了可能安装到有害程序的风险性大增外，更严重的影响本机的效率，更重要的是一般使用者根本不会操作这么复杂的部份！

企业用户要避免使用单机版的反间谍软件。单机版的反间谍程序对信息管理人员来说是个恶梦，无法集中管控客户端个别版本与样本数据库，无法在统一的策略下进行更新与管理，造成防御机制形同虚设。

选择样本数据库研发团队研制可靠的反间谍软件。间谍程序相对于病毒来说，其设计复杂度高得多，使得反制的研发需要更大的资源与实力，因此反间谍软件的样本数据库研发团队必须要兼具针对系统弱点、病毒特征、黑客攻击手法的分析能力，才足以提供完整的间谍程序反制样本数据库。

选择间谍程序样本数据库种类丰富的反间谍软件。样本数据库的丰富也代表拦截间谍程序的可能性大增。

选择可以依照需求进行扫描特定位置的反间谍软件。间谍程序的狡猾远超过你我想象，因此要面对常常变身更换位置的间谍软件，如果只能针对固定位置扫描，那么拦截的效果便会大打折扣。

研制反制间谍程序是一件困难的任务。间谍程序完全不同于专门寻求制造伤害的病毒，影响的范围可以从简单的广告程序到复杂的后门黑客工具程序，唯有谨慎适当且实时的反制才能够将间谍程序的肆虐降到最低。

7 防间谍软件介绍

本人在上网时经常发现这种情况，用防间谍软件进行查杀后，能查出很多间谍程序，至于这些东西在电脑里干什么？不知道，反正只要有了其中的一种，电脑的性能就明显下降。只有采用防间谍软件查杀后，电脑的性能才得以改善。几乎每次上网总有一个或更多的鬼东东潜入电脑，我的好多朋友都碰到这种情况。

经过两个多月的时间，一共查出了40种间谍程序。因此，向大家推荐下面三种防间谍软件，它们可以保护您的电脑免受间谍的侵扰，使用三种防间谍软件查杀间谍程序时可以起到相互补充的作用。

1）清除系统的间谍软件Ad-Aware SE Personal 1.06专业版

http://bbs.macd.cn/viewthread.ph ... ;page=51#pid7474153          

或用Ad-Aware SE Professional v1.05

http://bbs.macd.cn/viewthread.php?tid=625634&extra=page%3D5

或用Ad-aware se 105反间谍软件绿色免安装版

http://bbs.macd.cn/viewthread.ph ...;page=36#pid7065400      

2）查杀间谍软件SpybotSearch and Destroy 1.4 Final

http://bbs.macd.cn/viewthread.ph ... ;page=57#pid7590543

或用查杀间谍软件Spybot-Search&Destroyhttp://bbs.macd.cn/viewthread.ph... ghlight=&page=2

或用最新版本Spybot Search and Destroy V1.4 RC

http://bbs.macd.cn/viewthread.ph ... hlight=&page=40

3）WebrootSpy Sweeper v4.0.2.349 特别版http://bbs.macd.cn/viewthread.ph ... ;page=56#pid7577232

或用Webroot Spy Sweeper v4.0.2.349http://bbs.macd.cn/viewthread.ph ...;page=58#pid7614090    

或用最新版本Webroots Spy Sweeper v3.5.0.194：

http://bbs.macd.cn/viewthread.ph ... ;page=17#pid6423765

另外推荐下列网络安全实用小工具：      

1）清除3721的三种方法：

①.蓝色网际3721卸载程序

http://bbs.macd.cn/viewthread.ph ... hlight=&page=27

②.3721完整卸载程序

http://bbs.macd.cn/viewthread.ph ...hlight=&page=13    

③.手动彻底清除3721

http://bbs.macd.cn/viewthread.ph ... ghlight=&page=9

2）IE优化修复专家2005豪华版

http://bbs.macd.cn/viewthread.ph ... hlight=&page=57

3）可以屏蔽3721等442个IE插件的IE插件屏蔽

http://bbs.macd.cn/viewthread.ph ...;page=38#pid7121641      

4)恶意网站清除器2.5

http://bbs.macd.cn/viewthread.ph ... ;page=59#pid7627688

也有一些朋友可能会问，所装的防间谍软件会不会它本身也是间谍呢？不排除这种可能性，但您可以装几种防间谍软件互相对查就清楚了，您自己就会判断装了防间谍软件查杀后，电脑系统性能是变好了还是变差了。还有一些朋友可能会认为自己已经装有杀毒软件和防火墙了，就认为不会有问题了，那就错了！杀毒软件和防火墙对间谍程序是无能为力的。

尽管美国发现间谍程序有几千万种，但我们要看看在我们的电脑有哪些？当一些朋友在查到一些间谍软件而不知如何处理时，自己就可以把它们同“查到的间谍软件汇总表”对照一下，就基本清楚自己该如何处理了。

查到的间谍软件汇总表

1.ADAdlogix                  21.CommonName

2.AD AlexaTodbar              22.Cydoor

3.ADBrowserAid                23.DataMiner

4.ADCommonName                24.DoubleClick

5.ADCoolWebSearch(CWS)        25.DoubleclickCookie 

6.AD Cydoor                    26.DSOExploit 

7.AD EbayToolbar              27.EzCyberSearch      

8.ADLopdotcom                28.FastClick 

9.ADSafeSearch                29.HitBox                

10.AD SmartTags              30.MediaPlex                 

11.ADSrng                     31.Misc               

12.AD WebSearchExploit        32.MRUList  

13.AlexeRelaled               33.Netsys              

14.AvenueA,Inc               34.Possible Browser Hijacaffempt

15.AvenunA,Inc                35.PossibleBrowser Hijack atlempt 

16.BDHelper                   36.Server.iad.Liveperson Cookie

17.BDSearchPlugin             37.SystemSp

18.Cdilla                      38.TrackingCookie

19.CnsMin                      39.TurboDownload   

20.Com.comCookie              40.TurboDownload  

41.WurldMedia

  （收稿日期：2005-07-23；Email：gn@jiaodong.net）