间谍软件和广告软件简介
 我们在频繁升级杀毒软件、庆幸自己的电脑仍然安然无恙的时候，另外一种威胁已侵入了你的电脑？他们不知不觉地进入你的计算机，将你在计算机上的一举一动，从键盘操作到浏览过的网页都记录下来，并发送到指定公司的地址，这就是间谍软件。不要以为只要不是政府机关或要害部门的负责人，“间谍事件”就离你很远，实际上他们早已无所不在。据统计，平均每台个人电脑里潜伏着30个间谍软件。根据2004年度的一项哈里斯调查，92%的IT经理承认间谍软件曾经感染过他们的机构，平均29%的工作站曾经遭受感染；40%的IT经理表示这种感染正在不断增多。

　　间谍软件和常见病毒不同，它们不会改写计算机上的资料文件、不会试图复制自己、不会对外发送大量的信息、不会大量占用计算机系统资源，造成运行缓慢，大多数只是静悄悄地收集用户的资料。你无法或很难通过计算机的异常反应察觉他们的存在。因此大多数人即使遭遇到间谍软件，也毫无感觉，甚至不认为自己受到了侵害。

　　间谍软件对用户的危害有大有小，有些仅仅是收集用户访问过和爱去的网站等信息，用于市场营销分析，这种软件危害相对较小。有一些则偷取用户在各网站上输入的私人信息，比如用户生日、家庭住址和电话等。由于大部分人会喜欢用这些信息中的一部分作为自己其他更重要信息的访问口令或口令的线索。因此这类信息一旦被别有用心的人获取，往往会造成该用户金融账户等个人隐私的泄露。只要获得了用户的开户银行、用户姓名、电子邮件等信息，一些犯罪分子就可以伪造该银行的电子邮件和网站，以系统维护的名义让用户访问其伪造的网站，借机盗取用户银行账户密码。更有一些间谍软件，拥有非常强大的功能，能记录用户输入的密码、读取计算机上的文件、监控用户计算机屏幕、取得计算机的绝对控制权，甚至还以这台电脑为据点对另外的电脑进行违法操作。这种破坏性和威胁性较大的间谍软件，实际上是黑客软件的一个分支，即“特洛伊木马”程序。

　　大部分间谍软件通过寄生在一个合法的程序中进行传播。一些免费软件的开发人员，为了获取开发资金、降低软件的发行成本，往往会和某些网络广告商进行合作，在其软件中捆绑广告软件，而这些广告软件经常带有一定的间谍功能。当用户使用该软件时，在从网络广告服务商获取广告信息的同时，也会向广告商传出自己的私人信息。另外一些不怀好意的人还会主动将一些危害性比较大的间谍软件捆绑在很著名的软件上传播。

是间谍软件还是广告软件？
 了解间谍软件和广告软件之间的区别非常重要。间谍软件的目标是在用户不知情的情况下窃取他们的信息或者金钱；广告软件的目标则是让用户愿意花钱。广告软件的行为通常更加明显――您的计算机会突然开始出现弹出广告，或者更改您的搜索引擎，而间谍软件的设计目的就是在幕后秘密行动。间谍软件和广告软件都采取类似的策略安装和控制您的计算机。
间谍软件
间谍软件源自于20世纪90年代出现的一种旨在帮助家长监控孩子网上行为和帮助雇主监视员工计算机使用情况的合法程序。很多这样的程序都将“远程安装”作为一个重要的特色――能够在不实际操作被监控计算机的情况下安装程序。但是今天，黑客和身份窃贼正在开发和使用越来越多的间谍软件，以记录敏感信息，例如：
• 用户名
• 密码
• 信用卡帐号
• 社会保险帐号
• 公司机密
• 家庭住址
• 个人电话号码
• URL历史
• 屏幕截图
• 被发送到“间谍服务器”的信息

间谍软件采用了特殊的设计，可以在用户不知情的情况下秘密安装。当真正的间谍软件被安装于一台计算机上时，“间谍”可以看到用户的所有操作――用户浏览的网站，输入的信息，以及屏幕上显示的文档内容。某些间谍软件还带有一个特洛伊木马程序，让“间谍”可以完全控制用户的计算机。
广告软件
比间谍软件更为常见的广告软件包含了与免费软件捆绑的营销程序，旨在为用户的计算机提供弹出广告，将用户转移到某个向广告软件开发商提供许可的搜索引擎。用户可能愿意或者有意地在他们的计算机上接受广告软件，以换取某个特定软件所带来的好处，例如接收免费的股票行情、天气预报或者交通信息。

有些广告软件的设计目的是跟踪用户的浏览习惯，以进行市场调查；但是，今天的大部分合法广告软件开发商都自称他们不会再监控和记录用户的活动，因而不会对安全或者隐私构成威胁。

某些广告软件被称为垃圾软件，因为它会执行一些恶意行为，例如安装一个能够通过用户的计算机拨打昂贵的国际和长途电话的拨号程序，或者逼迫用户为卸载破坏性程序而付费。

尽管从总体而言并不具有很大的破坏性，但是广告软件对于机构的潜在影响仍然不可低估。戴尔公司最近指出，它所接到的技术支持电话中有12%都与间谍软件/广告软件问题有关。反复出现的弹出窗口、被控制的浏览器和重定向到广告软件搜索引擎等行为都会激怒商业用户。设计低劣的广告软件可能会耗尽CPU资源，产生安全漏洞，影响系统性能，导致错误信息、系统死机甚至崩溃。一旦安装，广告软件就很难卸载。有时甚至不可能卸载，因为它们往往会进一步安装更多的广告软件。

思科所提供的理想解决方案让管理员可以防范间谍软件的安装，或者让员工可以继续安全地使用免费软件和共享软件，同时防止它们捆绑的广告软件对系统的稳定性和完整性造成严重的破坏。
间谍软件/广告软件的潜在行为
间谍软件/广告软件的其他潜在行为包括：
 监控按键
 扫描硬盘文件
 监视其他应用，例如聊天程序或者文字处理器
 安装其他间谍软件程序
 读取cookie
 更改缺省主页
 在系统启动后运行，驻留在内存中
 连接到互联网
 拨打一个电话号码
 传输用户以前浏览的URL
 监听网络流量
 安装远程管理工具
 通过安装一个特洛伊木马程序，获得计算机控制权
 添加文件、文件夹、cookie、动态链接库（DLL）和注册表条目

间谍软件和广告软件如何安装
大部分广告软件都是在有意或者无意的情况下随免费软件――例如屏幕保护、游戏、天气预报和股票行情显示条，或者文件共享软件――一同下载的。尽管用户可以通过在允许下载某个程序之前仔细阅读任何法律许可协议的条款，避免安装广告软件，但是很多程序会依靠“社会工程”用反复出现的下载界面纠缠用户，直到用户点击“Yes”（同意）接受该软件的安装。

间谍软件有时会采取作弊的方法――即使用户点击“No”（拒绝），它也会自动安装。广告软件厂商和黑客会借助主动执行的内容代码，在用户查看网页或者电子邮件时通过“幕后下载”秘密安装破坏性的程序。仅仅拦截可疑站点并不能避免这种情况――Web的自由度、匿名性和不断发展导致了数百个新的间谍软件站点的出现。

在哈里斯调查中，只有6%的用户表示曾经浏览过可能存在间谍软件的站点，但是有92%的IT经理承认他们的公司曾被感染。间谍软件采用了独特的设计，可以在用户不知情或者未经用户许可的情况下秘密安装，而间谍软件的开发人员在设计他们的间谍软件发送系统时也变得越来越聪明。指导用户掌握安全浏览实践和仔细阅读许可协议非常重要，但是仅靠这些做法并不足以解决这个问题。

现有的间谍软件检测和移除工具的限制
 因为大部分间谍软件不是通过电子邮件发送的，所以防病毒产品不能有效地加以检测。间谍软件检测工具的工作原理实际上与防病毒技术类似――它们利用特征、模式匹配和已知文件名来判断在一台计算机上是否存在间谍软件。与其他传统的信息安全技术一样，间谍软件检测技术存在着一个致命的缺陷――它们是被动的、反应式的。因为这些解决方案主要是基于特征检测的，所以即使当它们得到了有效的安装和管理，新的和变异的间谍软件攻击仍然会对各个主机上的网络资源和文件造成严重的破坏。

 没有任何一种检测工具能够发现所有的间谍软件。产品评估人员往往会建议采用多种检测工具，以确保在一个产品漏过了某种间谍软件程序的情况下，另外一个会及时发现。

 与防病毒领域一样，防间谍软件的开发人员发现他们面临着持续的支持问题：
• 为了与间谍软件开发人员保持同步而必须不断更新特征库
• 保持特征的时效性
• 更多的误报
• 无法发现新的（“零日”）和不断演变的间谍软件程序

 间谍软件和广告软件卸载工具有助于确定哪些主机感染了这些程序，但是无法及时防止感染。但是，预防具有重要的意义――清除可能会是一个漫长而又复杂的过程。很多间谍软件程序都很顽强，可以在卸载后重新安装，同时运行多个间谍软件程序，甚至躲避防病毒产品的检测。因此，间谍软件几乎无法根除。例如，有些程序会在Windows注册表中添加数千个条目，因此只有用大量的、经验丰富的IT支持人员（很难实现）才能检查和纠正这些注册表信息。
　　
　　近年来，专家们为减少间谍软件的危害，建立了专门的反间谍软件组织，提供监控各种间谍软件的信息，著名的操作系统软件提供商微软和杀毒软件赛门铁克公司也开始在自己的软件中增加反间谍功能。一些国家甚至考虑以立法来规范和约束间谍软件的开发和传播。但到目前为止，防范间谍软件的方法还非常有限。
 
思科安全代理CSA――一种创新的解决方案
市场上现有的防间谍软件解决方案主要基于被动的、反应式的检测，不能解决层出不穷的新问题。思科安全代理提供了一种主动的防护模式，有助于防范间谍软件和广告软件的感染，保持系统的完整性，为终端提供深入防御。思科安全代理CSA可以通过两种方式防止感染：首先，防止间谍软件被安装；如果已经被安装，防止间谍软件执行和实施恶意行为，例如读取和发送敏感信息。

思科安全代理采取了一种预防性的方法，利用基于行为的安全机制防范针对主机的恶意活动。破坏性活动会被检测和拦截，不管存在什么类型的间谍软件或广告软件思科安全代理是思科预防信息失窃解决方案的重要组成部分。

与只能提供单点防护（而且只有在特征已知时）的其他技术相比，思科安全代理可以在入侵的所有阶段主动防范对主机的破坏，从而提供多层防御。思科安全代理采用了独特的设计，可以在特征未知的情况下防范新型攻击。

当某个应用试图执行某个操作时，该代理会按照应用的安全策略检查该操作，就是否允许操作继续执行实时制定一个“允许”或者“拒绝”决策，判断是否应当记录该操作请求。安全策略是一组由IT或安全管理员分配的、用于单独或者在整个企业的范围内保护服务器和台式机的规则。这些规则为用户提供了一个安全的网站浏览环境。思科安全代理可以通过在服务器和台式机的缺省策略中汇总多种用于部署分布式防火墙、操作系统锁定和完整性保障、恶意移动代码防护和审核事件搜集功能的安全策略，提供针对间谍软件和广告软件的深入防御功能。

因为保护是建立在阻截恶意行为的基础上，缺省策略可以在不需要升级的情况下阻止已知和未知攻击。关联在代理和管理中心控制台上进行。基于代理的关联会大幅度提高准确性，在不阻止合法活动的情况下发现实际的攻击或滥用行为。

思科安全代理可以加固Windows操作系统，防止间谍软件修改关键的操作系统二进制文件或者配置。因为这种功能不需要对文件系统内容的密码分析，它几乎不会对系统性能造成任何影响。

思科安全代理CSA可以：
 检测和防范键盘日志
 防止对系统可执行文件的、未经授权的改写操作，保护操作系统的完整性
 防止攻击者借助一个命令界面，通过调用系统中的命令发动攻击
 防止可能受到感染的应用破坏新的应用或者下载新的应用
 监控和规定哪些应用可以在桌面上运行
 检测和防范特洛伊木马
 防止Web浏览器利用移动代码（例如Java、JavaScript和ActiveX）进行幕后下载
 防止攻击者利用一个DLL控制程序实现“应用劫持”
 防止在应用中出现危险的用户行为，例如利用一个即时消息软件下载文件
 防止已知和未知的缓存溢出攻击，这种攻击可能会被用于在用户计算机上安装间谍软件
 允许集中管理可以运行的应用，让管理员可以防止可疑间谍软件的执行
 能够监控和防止某些应用读取敏感的数据文件
 监控媒体设备，在间谍软件启用某个Web电话或者摄像头时警告用户