也说流氓软件

流氓软件的讨论热潮随着最近的反流氓软件联盟接连起诉几家被网友公认为流氓软件的厂家以及Qihoo和Yahoo这两虎的争斗而急剧升温。

致使原本对此漠不关心的我也不禁被牵动并下载了360safe对我的计算机进行了扫描，得出的结果十分让我意外。

我的系统是上个星期刚刚进行格式化安装的全新系统，但是居然查出了3721和雅虎助手的残留痕迹，不禁对流氓软件厂商深表敬佩，一直以来我都认为我通过upiea的插件免疫即可彻底防治被安装3721和雅虎助手，即使被装上了也应有明显的痕迹。但是360查出的是残留痕迹，对此我感到十分惊讶。这种行为等同于间谍软件，在后台收集用户的个人隐私，也许有读者看到这里会觉得这是见怪不怪的事情了。我个人之前虽然对雅虎公司的这两个产品毫无好感，但还是认为可以通过其自身提供的卸载工具完全卸载的（雅虎中国官方也宣称如此），但并未想到其会作出这种偷鸡摸狗的行当。

至此也完全阐述了我写《也说流氓软件》的背景，下面将就我个人对当前几个主流的流氓软件看法发表评论。

1.千橡互联

这个当属当今流氓软件行业的老大了，在经过几次进化后发展到最终版本的千橡流氓软件感染exe已经做到了

在感染EXE后直接把原来的EXE数据丢弃掉!只将原来EXE的图标替换为自己导致被感染的EXE全部变为只有108544字节(106KB左右)

原来被感染的EXE会释放出被感染前的EXE文件,前面加上~,比如cmd.exe,会释放出cmd~.exe
这个版本,也是会释放出*~.exe,但是这个exe当然不会是原来的EXE(已经被丢弃了),而是它自己,然后这个东西会去几个网站下载这两个文件,并运行
19790205.exe
cert.exe
这两个都是包含了千橡互联两个主打流氓软件:IE-BAR,dmcast的安装包

也就是用户机器上的exe都会被直接替换为这个下载器,然后运行被感染后的EXE(文件图标和被感染前一致)
由于原exe文件数据已被丢弃,恢复已是不可能的

现在好象还没有杀毒软件对该变种报毒
但是即使报毒也是没有可能修复原文件的了。

做到这种地步已经超越一般的感染EXE病毒(比如Win下的Parite病毒) 比之过去那种直接格盘锁盘的病毒有过之而无不及(同时还可以给自己的流氓广告软件增加超大的下载安装量)。

相信不需多久，千橡将成为第一个流氓病毒（即流氓软件演变成的病毒）始祖。

2.雅虎助手

雅虎在国庆节大假期间,阿里巴巴在未经任何提示的情况下,对部分用户电脑中的雅虎助手软件进行了后台自动升级,升级后的雅虎助手软件会自动在用户电脑系统分区的Program Files目录下生成两个分别名为"360safe"和"baigoo"的目录,并设置其访问权限为不可访问状态.
经过雅虎助手修改过系统配置的电脑,网民运行360安全卫士软件查杀恶意软件时,将出现电脑中装有"百狗"插件的误报.因为雅虎助手将"baigoo"目录设置为不可访问状态,网民在使用360安全卫士卸载百狗时会出现"无法卸载"的假象.雅虎助手通过这种方法,制造了"百狗"插件大面积"爆发安装"和"360安全卫士查杀百狗不彻底"的假象.
而上述行为,则是在各种病毒软件中,为了应对杀毒软件的查杀,所常用的一种技巧.

这个是雅虎对杀毒软件厂商的挑战书，也标志着雅虎从流氓软件演变为带有一定病毒特征的软件。雅虎作为一家国际网络巨头，在中国区分公司作出如此无耻的行为，不知道雅虎的美国总公司有何感想，难道雅虎在中国就只能靠流氓软件来提高流量，迫使用户查看广告吗？

从用户自发组织的反流氓软件联盟的控诉来看，雅虎此举是一个及其错误的选择，必将为其日后逐渐失去中国市场占有率埋下伏笔。

3.CNNIC

CNNIC软件被安装通过软件的自带卸载功能不仅无法完全卸载，而且在重新启动后还会自动重新安装，恢复到原有的状态，并且连带安装了许多广告软件和间谍软件。以上特征使CNNIC成为中国当前的流氓软件的代表（除上文所述的两个已具有病毒特征的流氓软件）。

作为中国互联网信息中心，竟然也作出了如此不知羞耻的行为，实在令人心寒。我不明白为何国家会容许其作出这种有损国家声誉的行为，同时我也不能理解CNNIC这么做的目的。

在本文的最后我介绍一下完全查杀目前的流氓软件以及免疫目前的流氓软件的方法。安装360safe（最新版本：2.0 pre），找到工具栏中的“查杀－查杀恶意软件”，将找到的恶意软件全部卸载；然后，使用“修复”中的所有修复选项来修复你的系统；最后，使用“工具－弹出插件免疫”全选其中的所有插件，“免疫选中插件”。用Upiea（最新版本：V2 beta 9）免疫所有可以安全免疫的插件，这样你的系统里的流氓软件就将消失无踪，你只需保持一个良好的操作习惯并注意更新以上两个软件即可做到“免疫流氓”了。