Grayware

http://taiwan.cnet.com/enterprise/column/0,2000062893,20101430,00.htm
專欄反映作者意見，不代表CNET立場。

具 備廿多年IT專案實務經驗，熟悉大型主機 (Main Frame) 作業系統、SNA/SDLC、TCP/IP以及 ATM等網路架構，負責Firewall、IPS 及病毒防治等各種大型專案。在加入Fortinet之前，曾任IBM台灣分公司及Redback Inc & Foundry Network。

	別讓你的電腦變灰：Grayware

勞虎觀點 蕭百齡     軟體開發見聞錄 同人     ZD's Note 鍾翠玲     CIO的天空 杜奕鋒     資訊安全龍捲風 王應達     更多駐站專家…

常遨遊網際網路的各位，如果還沒聽說過灰色軟體（grayware，海峽對岸有時稱之為流氓軟件）這個名詞的話，應該會在最近陸續看到媒體的相關報導－－不過在此深切地希望各位不是在遭 grayware感染之後才曉得的。

網路威脅新名詞：Grayware

說了半天，grayware究竟是什麼呢？簡單說，之所以稱為「灰」色軟體，便是因為grayware是介於「好軟體」與「壞病毒」之間的灰色地帶，包括 合法的adware、惡意的spyware，以及所有其它的惡意程式或擾人軟體。大部份的grayware都會在未經使用者許可的情況下自行安裝、追蹤， 或是記錄使用者的相關訊息並對外傳送（當然一樣不會告訴使用者）。也有部份的 grayware 是偽裝成有用的軟體，欺騙使用者動手安裝的木馬程式。

Grayware的感染來源很多，不論是使用者下載的共享軟體或免費軟體、其他形式的交換檔案、開啟中毒的電子郵件、不小心點選彈出式廣告、進入偽造網站，或是被植入木馬程式等等，都有可能受到感染。

一般來說，grayware 包含以下種類的軟體：

廣告軟體 (Adware)
Adware 通常都是夾帶在使用者下載的免費軟體裡，在這個免費軟體執行的時間當中，會顯示彈出式廣告。

惡意撥號程式(Dialers)
用來控制使用者的數據機，會被駭客利用來撥打長途電話或是付費電話謀利。

惡意遊戲(Gaming)
一些玩笑或是令人煩厭的小遊戲。

玩笑軟體(Joke) 通常會更動一些不影響系統的應用程式設定。

點對點檔案傳輸軟體(Peer-to-peer, P2P)
進行檔案交換的軟體。雖然 P2P 本身是合法商業用途的通訊協定，但灰色軟體應用程式卻將它做為非法音樂、電影或其他檔案的交換管道。

間諜軟體(Spyware)
通常夾帶於免費軟體中。間諜軟體會追蹤並分析使用者的活動，像是瀏覽習慣等。這些訊息都會送回到駭客指定的網站進行記錄與分析。

鍵盤側錄軟體(Key Logger)
被安裝在使用者電腦中，會記錄使用者鍵盤上所有的按鍵動作，藉此得知使用者的密碼、信用卡號碼、電子郵件、線上交談、即時訊息及其他相關訊息等。

綁架軟體(Hijacker)
會操縱瀏覽器或其他系統設定的程式，它能更改使用者「我的最愛」或書籤所記錄的網站位址、首頁設定，或是功能列選單上的選項等。部份綁架軟體甚至可以更改 DNS 設定，不知不覺地將使用者打算瀏覽的網址「繞」到指定的惡意網站去。

外掛程式(Plug-ins)
現有應用程式的外加程式或功能，會試著控制、記錄使用者瀏覽偏好及其他訊息，並送到指定的目的地。

惡意網管軟體(Network Management)
惡意性質的網路應用程式，它們會竄改網路設定、瓦解網路安全，或是引起其他型態的網路破壞活動。

遠端遙控管理軟體(Remote Administration Tools) 允許外部的使用者存取、更動，或是監控網路上的電腦。

瀏覽器協助物件(Browser Helper Object, BHO)
偽裝成應用程式中的 DLL 檔，讓程式可控制 Internet Explorer。並非所有的 BHO 都是惡意程式，但是它們都具有追蹤使用者瀏覽習慣與蒐集資訊的潛在能力。

工具列(Toolbar)
安裝之後會更改現有的工具列功能，這些程式多半用來監控使用者的瀏覽習慣、將資訊回送至駭客處，或是更改主機的功能。

下載(Download)
會在使用者未發覺的情形下，自動允許其他程式進行下載或安裝。通常在電腦的開機階段就會自行啟動，用以安裝廣告、撥號程式或是其他的惡意程式碼。

各種Grayware的感染癥狀

被 grayware 感染後，電腦通常會出現下列癥狀：

•電腦愈來 愈慢：grayware 會吃掉許多CPU 與記憶體資源。這些惡意程式可利用 「Windows工作管理員」（按 Ctrl+Alt+Del進入，並選擇「處理程序」） 辨識出來，並能檢視其所佔用的 CPU 及記憶體資源。一般這些 grayware 所用的名字，大多採用使用者不易辨識的名稱。

•在使用者並未執行相關的網路程序時，ADSL/Cable數據機的燈號卻會無故閃爍：另外也能從視窗右下角系統狀態列裡的網路連線圖示不斷閃爍看出端倪。

•彈出式廣告過多：就算是未連結上網際網路，亦未啟動瀏覽器的時候，也會顯示彈出式訊息或廣告。

•瀏覽器首頁被竄改：使用者原設的首頁莫名奇妙地被改掉，就算去重新設定也不一定有用。

•Internet Explorer 的預設搜尋引擎被改：使用者無法使用原來預設的搜尋引擎，並且是由非期待中的搜尋網站提供搜尋結果。

•電話費用爆增：無緣無故地增加了使用者未撥打的付費電話費用。

•防毒程式或是防間諜軟體程式停止運作：使用者會收到找不到防毒程式檔案的警告訊息，就算更動之後也解決不了問題。老奸巨滑的grayware 會在安裝自己之前，先行關掉資訊安全相關程式。

Grayware的預防之道

既然有這麼多種的可能性，grayware 看來真是令人防不勝防，是嗎？不過請網友們先別「灰」心的太快，在此提供各位一些防範的撇步，讓大家都能做好預防的功夫。

•事前教育：要降低grayware的影響，就必須規範、宣導使用政策或規定，並且強力執行，改變部份使用者的不良上網習慣。

•網路式防護：要將企業每台電腦裝上防毒軟體，採行主機式(host-based)防護並且定期更新所費不貲。若能在閘道器 (gateway) 等重要主機上，安裝網路式(network-based)防護裝置，就能大幅降低成本，並隨時保有最新的防毒碼，一口氣保護所有在gateway之後的電 腦。但是此做法還是有缺點－－像筆記型電腦出了公司大門，就無法提供防護了。

•結合式防護：防範grayware最理想的方式，便是結合網路式及主機式防護。像是網路式防護中的防毒防火牆可以防堵病毒、入侵、垃圾郵件及灰色軟體 等，主機式防護則結合了VPN 前端程式、防毒保護、個人防火牆及灰色軟體偵測等。這種方法能提供完整的防護，就算在外使用的筆記型電腦也能得到保護。

除此之外，面對千奇百怪的攻擊威脅，理想的網路安全設備應該包含特徵值辨識(Signature-base threat recognition)，以及啟發式或異常行為偵測技術(heuristic and anomaly detection technology)，以便有效掃瞄一些防毒公司尚未寫出特徵值的混合型攻擊威脅。

網路威脅持續增長，在此提醒所有網路用戶，雖然隨時更新作業系統與應用程式的修正檔，以及防毒程式的防毒碼等工作看來是苦差事，但是在企業或ISP尚未提供上述的結合式防護前，為了自身的電腦安全，還是勤快點比較好。

--


[垃圾桶] 裡沒有會話群組。 當您有 2000 MB 以上的儲存空間時，誰還需要刪除郵件？！