中华网络安全联盟    来源：瑞星公司    时间：2006-11-14 9:11:35

    自2005年6月，瑞星对“流氓软件”宣战以来，互联网上流氓软件肆虐的问题，成为媒体、用户和业界专家关心的焦点之一。那么，流氓软件究竟是如何产生、发展的呢？仔细回顾流氓软件的发展历史，大致可以概括为：“恶意网页代码”、“插件推广”、“软件捆绑”和“流氓软件病毒化”四个时代。 

一、恶意网页代码时代（2001年～2002年）

    自2001年开始，某些黄色网站和中小网站通过“修改用户浏览器主页”的方法提高网站访问量。它们在其网站页面中放置一段恶意代码，当用户浏览这些网站时，用户的IE浏览器主页会被修改。当用户下次打开浏览器时会首先打开这些网站，从而提高其访问量，这一做法在当时非常流行。

    由于“修改用户浏览器主页”只是对IE浏览器进行简单的设置，用户可以将首页重新改回来，因此“修改用户浏览器主页”的方法并没有完全实现这些不良网站的推广企图。

    随后，不少中小网站开始采用更加恶意的方法。它们通过恶意网页代码直接对用户计算机的注册表进行修改，对一些系统功能进行限制。这一时期，有一个名叫“万花谷”的网站较有代表性。该网站会将用户的浏览器首页修改为“http://www.on888.home.chinaren.com/”，将IE标题改为“欢迎来到万花谷！”，同时它还会禁用“IE设置”、注册表编辑器、DOS等十余项系统关键功能。这一做法给用户带来很大困扰。同时，瑞星杀毒软件等反病毒软件也纷纷将此类代码当作病毒进行处理。

    针对这一情况，瑞星公司研发出“网页监控”和“注册表监控”两大技术，并将它们全面应用于杀毒软件当中，从根本上解决此类问题。同时“瑞星注册表修复工具” 也开始对社会免费发放，以解除此类恶意代码对用户计算机的限制。逐渐，恶意网页代码方式失去了生存空间，被上述不良网站所遗弃。

[点击图片查看原图]

二、插件时代（2003年～2005年）

    从2003年开始，中国互联网出现了一种叫做“中文上网”的新业务形式。“中文上网”的作用是将中文解析成对应的网址，使用户输入中文的公司或网站名称时能够打开它们的网站，而提供“中文上网”服务的公司借此盈利。

    要想实现“将中文解析成网址”，需要在用户的计算机上安装一个插件程序。因此“中文上网”要想提升其品牌价值，就必须将插件安装到尽可能多的计算机上，占领客户端。“中文上网”通过与大量的网站进行合作，放置其插件程序，当用户访问这些网站时就会被自动安装上“中文上网”插件，并且无法卸载。

    由于“中文上网”取得了巨大的经济收益，促使一些其它的厂商也推出了具有同质化功能的插件程序。为了争夺市场，提供“中文上网”业务的公司之间开始“互杀”，软件安装后会试图删除竞争对手的插件，将用户的计算机变成战场，甚至一些厂商为此对簿公堂。由于插件间的恶性竞争，在“互杀”的过程中往往造成用户计算机频繁死机、蓝屏。

    到了2005年初，越来越多的国内互联网厂商从“中文上网”厂商间的竞争中，认识到插件推广的绝佳效果，于是纷纷推出自己的插件。这使得用户在浏览一些网站时，常常被安装了无数个插件、工具条软件。随着这种情况愈演愈烈，用户开始控诉此类插件，并形象地将这些不请自来的软件称之为“流氓软件”。

三、软件捆绑时代（2005年至今）

    2005年6月28日，瑞星发布“卡卡上网助手1.0版”，这是国内第一款由专业信息安全厂商发布的反流氓软件工具，它集“反浏览器劫持”、“反恶意插件”、“广告过滤”等功能为一体，功能强大。一经发布即受到网民追捧，每天的下载量高达30万次，短短十余天内即拥有了300多万用户，给通过网页安装插件的流氓厂商带来了沉重的压力。

    在瑞星卡卡上网安全助手1.0等反流氓软件产品的打击下，一些互联网厂商被迫寻找新的推广方式，于是他们开始尝试用共享软件捆绑的方式，向用户的电脑中安插流氓软件。这些厂商网罗了多种知名共享软件的作者，将自身的产品与共享软件捆绑，并支付一定费用。当用户安装这些共享软件时，会同时被强制安装“流氓软件”，且无法卸载。

    由于中国的共享软件体制尚不完善，盗版问题仍然比较严重，很多共享软件刚一推出即遭到破解。共享软件作者很难从软件注册费中获取收益，因此纷纷通过推广流氓软件来牟利。这一时期曾经出现过一个共享软件捆绑安装十余个流氓软件的情况。另一方面，有的消费类厂商由于通过流氓软件弹出广告覆盖面广、营销对象确定、利润来源稳定，也开始给流氓软件发布者投放广告，这使得整个流氓软件产业形成了完整的链条。

    作为国内信息安全领域的领导者，瑞星公司一直对流氓软件产业进行着密切的关注，并进行了先期的准备性研究。当年，瑞星联合十余家业界厂商，共同发布了《规范软件产品行为倡议书》、《软件产品行为安全服务规范》，呼吁软件业界对自己的行为进行自律。该行动引起了广大媒体、网民和业界专家的热烈响应，在瑞星网站设立的流氓软件调查中，有一百余万网民投票，表达了对这种现象的不满。同时，数万网民在网站留言，对数十种流氓软件进行了投诉。

    但是，由于流氓软件处于病毒与正规软件中间的灰色地带，即其虽然带有强制安装、弹出广告、无法卸载等恶意特征，但也同时具有用户需要的一些正常软件功能。因此，很难将其定义为病毒。由于我国还没有针对“流氓软件”的相关法律法规出台，瑞星公司只能以发布自律书、软件编写规范的形势，来呼吁业界同仁自觉对流氓软件行为进行抵制。

    随着“瑞星卡卡助手”的发布，给流氓软件厂商带来了一定的压力，但是并未从根本上彻底解决流氓软件问题，而由于利益驱动，越来越多的厂商开始采取流氓手段推广产品和网站，甚至通过占领用户的电脑发展起弹出广告业务。

四、流氓软件病毒化时代（2006年下半年至今）

    迫于技术和舆论的压力，制作流氓软件的厂商开始两极分化。一些大牌互联网厂商逐渐“洗白”，将软件的“流氓”程度降低，还有一些厂商干脆放弃推广“流氓软件”。

    然而，仍有大量的中小厂商是通过“流氓软件”起家的，通过“流氓软件”进行广告推广已经成为其公司的主要甚至是唯一的收入来源。2006年下半年开始，一些厂商为了生存，不惜铤而走险，使用更加卑劣的手段进行流氓推广，并且采用更加恶毒的技术公然向反病毒软件、反流氓软件工具挑战。

    据瑞星公司客户服务中心的统计数据表明，从2006年6月开始，用户计算机由于流氓软件问题导致崩溃的求助数量已经超过了病毒。

    这一时期的“流氓软件”有两大特点：

1、 编写病毒化

    不少“流氓软件”为了防止被杀毒软件或流氓软件卸载工具发现，采用了病毒常用的Rootkits技术进行自我保护。Rootkits可以对自身及指定的文件进行隐藏或锁定，防止被发现和删除。带有Rootkits的“流氓软件”就像练就了“金钟罩”、“铁布杉”，不除去这层保护根本难伤其毫发。

    更有一些流氓软件，采用“自杀式”技术攻击杀毒软件。一旦发现用户安装或运行杀毒软件，便运行恶意代码，直接造成计算机死机、蓝屏，让用户误以为是杀毒软件存在问题。

2、 传播病毒化

    为了达到更好的传播效果，并减小成本，不少中小厂商直接使用病毒进行“流氓推广”。用户的计算机感染病毒后，病毒会自动在后台运行，下载并安装“流氓软件”。同时，“流氓软件”安装后也会去从互联网自动下载运行病毒。

    大量的“流氓软件”开始使用电脑病毒来隐藏自身、进行快速传播、并对抗用户的清除，这些行为严重危害到用户的信息安全和利益。“流氓软件”和病毒之间的界限已变得越来越模糊。随着“流氓软件”不断朝着病毒的方向发展，要想彻底杀灭“流氓软件”就必须采用反病毒技术。

    瑞星动用了公司最精锐的技术力量、投入了大量人力物力，对整个产业链进行分析和研究。经过近一年的精心准备，2006年11月14日，“瑞星卡卡上网安全助手3.0”正式发布，任何人均可以免费下载使用。瑞星卡卡3.0采用了“碎甲（Anti-Rootkits）”、“未知病毒查杀”、“Startup Scan”等杀毒软件核心技术，是国内第一款采用反病毒技术的流氓软件清除工具，能够干净彻底地铲除用户电脑中的“流氓软件”。

    “瑞星卡卡上网安全助手3.0”的免费发放，将有望使国内所有的上网电脑彻底解除流氓软件的骚扰，因此我们相信在中国互联网上各种流氓软件都面临着灭顶之灾，国内网民将重新迎来一个安全、干净的上网环境。