谍变--反间谍技术的困惑与未来

　　“间谍，从来是没有尽头的游戏”，这是布拉德·彼特在电影《Spy Game》中的一句台词。在计算机舞台上演的反间谍软件剧目中，这句台词同样可以成为最合适的旁白。

　　潜 流

　　在黑客看来，间谍软件应该是所有攻击手段中最让人“沉迷”的，它完美地体现了斗争的智慧和操控的快感。

　　和病毒不同，间谍软件的第一个特征就是“低调”。它不会像爆发的蠕虫一样，雷霆一击，声势惊人，在短短的几分钟内使系统宕机、网络瘫痪，从而使全世界的计算机用户都知道它的名号。

　　相比之下，间谍软件如同潜流暗涌，在不知不觉间，进入用户的信息系统，获取所需的资料，成功的间谍软件在达到目的后，甚至会销踪灭迹，自我蒸发。

　　因此，间谍软件的目的不在于破坏成名，而是要获取实实在在的经济利益。正是这一原因，注定了它比一般病毒更为狡诈、难缠。

　　只要你是一位计算机网络的使用者，基本上，间谍潜入的可能性，包含在你所有的应用之中。

　　使用电子邮件时，你可能收到由熟人发来的游戏或者应用程序，一旦打开就中了圈套。当然，在反反复复的安全宣传下，你可能已经有了防备之心，不运行任何可疑的程序，但同样的，黑客可以仅仅发给你网上一个有趣而热门的话题，当你点击链接，“间谍”已经利用浏览器的漏洞，悄然进入。

　　如果你习惯于在网上下载各种免费软件，请记住，这也是间谍入侵的最佳途径之一。在商业利益的驱动下，即使很多合法的广告商或程序作者，也会在有价值的软件中植入间谍，并附上一则冗长模糊的声明，通常情况下，我们不假思索就会点击同意，并进行安装。而另外一些别有用心的黑客，更是将正版软件加入“间谍”后，以“破解版”的名义在网上免费发放。

　　你热衷于网上娱乐吗?比如网络游戏、在线电影、在线音乐广播、实时聊天等。那么，祝贺你，你和“间谍”亲近的机会大大增加了。由于这些应用通常是广告商最青睐的，他们会利用存在的漏洞，千方百计将间谍软件植入其中。

　　你喜欢时髦的博客和RSS吗?就在不久前举办的Gartner IT安全峰会上，安全专家指出，这些应用，正逐步成为间谍软件的“未来天堂”。原因是它们大量使用了JavaScript和ActiveX，同时由于RSS有自动化的特性，这种入侵会变得更加快捷。

　　最后，即便你已经成为惊弓之鸟，去网上下载反间谍软件，同样不能高枕无忧，因为不少间谍程序正是把自己装扮成安全软件，有的甚至真具有一定的杀毒和反间谍功能，但所有这些都是为了从心理上麻痹使用者，这些打着“反间谍”旗号的软件，很可能其本身就是更可怕的间谍软件。

　　寄 生

　　在成功地进入了使用者的电脑后，间谍软件首先会将自己很好地隐藏起来，随着技术的发展，这种隐藏寄生的技巧也在不断进步。

　　最基本的隐藏方式，是隐藏窗体和文件，我们知道，Windows应用程序通常会有程序界面窗体，间谍软件虽然本质上也是一种应用程序，但其通常不包含窗体或者将其隐藏。

　　在运行时，间谍软件中危害最大的木马程序会采用“进程插入”的方式来达到目的。也就是把间谍软件的DLL文件插入到正常程序进程的地址空间，从而实现自己监控、窃取信息的目的。

　　过去，这种DLL的植入通常通过修改注册表来实现，往往需要再次启动才能发挥作用，也容易被杀毒软件等程序发现，而现在的一些间谍软件，则使用挂钩(Hook)和远程线程函数(CreateRemoteThread)来进行植入，这种方式的可怕之处在于，“间谍”在达到目的之后，可以从正常的进程之中完全“蒸发”，不留下任何痕迹。实际上，它是将自己的信息在掩护之下提前抹去了，其原理就像把监控摄像的一端接到已经录制好的录像机上，我们观察到的影像没有任何问题，但犯罪已经完成。

　　上述技术的出现，让目前的反间谍工具在“间谍”活动时进行变得无能为力，只能在间谍软件刚进入电脑时予以拦截，而各种“壳”加密技术，使这一步也越来越艰难。

　　进入用户电脑的间谍软件如同一条有毒的藤蔓，缠绕在系统和应用程序之上，并和系统中的某些功能或应用程序建立关联。这种关联往往纷繁错节，难以理清头绪，因此，当用户试图清除间谍软件时，经常会引起系统或某些应用程序瘫痪。一些新的间谍软件建立了自我保护机制，在部分文件被删除后，可以自动修复，另一些则会“死缠烂打”，一旦发现反间谍软件，则通过修改注册表关联等方式，让整个操作系统无法正常使用。

　　合 围

　　间谍软件的无孔不入和技术的快速发展，使得它以前所未有的速度蔓延，我们的计算机网络，已经处在间谍软件的包围之中!

　　IDC在早前公布的数据中，估计大约67%的电脑都带有某种形式的间谍软件，而在权威机构不久前进行的一次调查显示，91%的接受调查者的计算机上都被安装了间谍软件。美国电信提供商Earthlink，曾经利用间谍软件扫描工具对联网的计算机用户进行扫描，在约106万台计算机上，发现了包括广告软件、木马程序在内的间谍软件超过2900多万个，平均每台电脑中隐藏了大约28个间谍软件!

　　由中国互联网络信息中心22日发布的《第十六次中国互联网发展状况统计报告》也显示:随着网民数量的急剧增长和宽带网络的普及，网民在电脑设备上存储的账号、密码等机密信息也越来越多，以窃取用户机密文件和个人隐私为目的的“间谍”软件已经超过传统意义上的病毒成为网民的最大威胁。

　　来自专业反病毒厂商的数据同样印证了这一观点，赛门铁克和趋势科技新的互联网安全威胁报告指出，在经过“红色代码”、“振荡波”等病毒的洗礼后，人们普遍增强了这方面的防范意识，现在这种利用漏洞进行大规模传播与破坏的病毒，已经不是黑客攻击的“主流”，而以商业和经济利益为目的的间谍软件，则获得了前所未有的发展，成为目前网络安全威胁的头号敌人。在赛门铁克公司截获的最多的50种恶意代码中，窃取用户的机密身份资料的攻击占了54%，较去年上半年增长了44%。

　　国内的反病毒企业瑞星、金山也表示，收到用户对间谍软件的投诉不断增多，由于这些软件具有欺骗隐瞒用户、强制弹出广告、秘密收集信息、难以卸载等特点，被用户形象地称之为“流氓软件”。

　　利 诱

　　天下熙熙，皆为利来，某项技术发展的动力，通常都不是技术本身，而是其背后的经济利益。间谍软件之所以在短时间内形成燎原之势，也和商业利益密不可分。

　　计算机安全专家表示，在过去，病毒、间谍软件等恶意程序的作者通常是些好奇的年轻人和一些希望自己扬名的程序员。但现在一切都变了，金钱成为赤裸裸的动机。据调查显示，目前现实中所发现的恶意软件的样本中，有70%是受利益驱动的。

　　赛门铁克认为，2003年，针对电子商务的攻击行为只有4%，而今年这种攻击行为增长了四倍，其中不少更是直接面对商业的核心——金融。

　　比如今年三月，一个高科技犯罪团伙就曾经涉嫌企图利用间谍软件，从日本住友银行集团伦敦办公室窃取2.2亿英镑。这种间谍软件就是上文提到的新式木马，可以记录敲击键盘的动作，从而窃取信用卡号、身份证号码，密码等重要信息，据称该木马已经被成功植入，后来因偶然的机会转换操作系统才被发现，令银行相关人员惊出一身冷汗。

　　不久前在国内被频繁报道的“网银大盗”同样是间谍软件的一种。它会把用户正常登陆网的银行页面，自动跳转到一个没有安全控件的登陆页面，以窃取用户的账号及密码。

　　在网络游戏领域，利用间谍软件盗取玩家重要信息的事情更是屡见不鲜，有些程序员更是专门针对某个游戏，分析各个环节，开发对应的间谍软件，操作得手后，一两个月就可能获得数十万元的非法收益。

　　觉得只有上述的这些行业会受到间谍软件攻击的想法是天真幼稚的，“间谍”之网，正越撒越大，甚至逐渐变得明目张胆。

　　据报道，一家俄罗斯网络公司竟然公开宣布，将向传播其间谍软件的“合作”网站，支付每千台感染计算机61美元的报酬。这家名为iframeDOLLARS.biz的网络公司把包括广告、木马在内的九种间谍程序发放给“合作者”，再通过他们的网站，散布给成千上万的用户。由于利用了操作系统的漏洞，这些间谍软件无需借助任何ActiveX插件或弹出窗口，用户在访问包含有这些间谍软件的网站时，会在不知不觉地把“间谍”领进门。

　　尽管有很多人对此表示谴责，但该网站生意却相当不错，据报道，iframeDOLLARS在一周内籍此赚取了75000美元广告费，而其支付给“合作”网站的费用不到12000美元，利润的确相当丰厚。

　　如果这种厚颜无耻的“商业模式”不被有效阻止，一旦蔓延开来，其对网络安全的危害将难以估算。

[1] [2]  下一页