SpyHunter风险评估模型
Enigma Software Group USA, LLC ("ESG")向其客户提供使用ESG的SpyHunter软件的许可。该许可证不仅允许访问SpyHunter软件中强大的恶意软件清除工具选择,而且还使用户可以访问名为Spyware Helpdesk的服务,该服务可以个性化和个性化地分析和清除影响用户计算机的恶意软件。
恶意软件存在无数种排列方式,并采用了多种欺骗或恶意功能。可以预料,在这种情况下,反间谍软件供应商的评级系统将产生不同的结果,而一个供应商将其分类为间谍软件或使用其他潜在有害技术的程序可能会与另一供应商有所不同。根据行业标准并在Internet社区中享有良好信誉,我们认为透明化ESG确定特定软件是否将被归类为恶意软件感染的方法非常重要。
我们已经采用了反间谍软件联盟(“ ASC”)的风险模型,并且通过根据对特定感染的分析经验开发出的内部风险模型来增强了该模型。 (由于ESG已采用ASC的风险模型,因此已将ASC关于ASC风险模型的描述的大部分内容并入了本文档。)在构建ESG的模型时,我们已识别出可能导致程序被识别为恶意软件的广泛行为。 。 由于恶意软件每天都会进化或变异,因此我们希望随着发现新的不良做法,列表会随着时间而变化。
本文档介绍了我们的风险评估模型。更具体地说:
- 概述了将用户计算机上的软件分类为潜在恶意软件或包含有害技术的通用术语和过程;
- 描述可能导致检测的行为,以便我们的工程师,技术人员,Internet用户和客户对我们的决策过程有更好的了解;和
- 概述了ESG用于对软件应用程序进行分类的方法。
注意: 我们的风险评估模型基于行为。以下标准是ESG用于确定的关键因素。我们可能决定使用全部或部分标准。 通常,程序的等级将 随着风险行为 而 增加 , 而 随着提供用户同意和控制的 行为 而 降低。在发生独特事件时,您可能会遇到一个归类为恶意软件的有用程序,因为它具有我们标记为恶意软件的某些方面;因此,建议您在使用SpyHunter进行扫描以检查计算机上已识别的项目之前,先将其删除。
1.建模过程概述
ESG用于确定程序分类的方法是风险建模过程:
- 确定使用的安装方法
- 安装和研究软件以确定影响范围
- 衡量风险因素
- 衡量同意因素
- 权衡风险因素与同意因素,以确定适用的分类和级别(如果有)
注意: ESG会权衡并综合考虑这些因素,称为“ 威胁评估级别” ,我们将在本文档中对其进行定义。例如,即使默认情况下此类行为被“关闭”,我们也可能检测到跟踪用户的程序。在这种情况下,我们可能会将程序检测为有害程序或威胁,但将其警告级别设置为低。
2.风险类别概述
间谍软件和其他可能有害的技术包含了可能与用户有关的多种行为。我们通常专注于以下领域的技术:
- 隐私权 –可能会访问或收集用户的个人信息或数据,并且用户将面临以下风险:
- 遭受欺诈或身份盗用
- 个人信息丢失
- 未经授权的追踪
- 安全性 –对计算机系统完整性的威胁,例如:
- 攻击计算机,或将其用作攻击的一部分
- 通过降低安全性设置使计算机面临风险
- 以未经授权的方式使用计算机资源
- 隐藏用户程序
- 用户体验 –以优选的方式影响用户使用计算机的能力,而不会造成干扰,例如:
- 投放意外广告
- 变更设定
- 造成系统不稳定或性能降低
这些风险类别不是相互排斥的,并且不限于上述示例。相反,这些风险类别代表了我们检查的一般领域,它们有助于以简短的通用语言描述对我们检查的用户的影响。
例如,SpyHunter可能会检测到程序,因为它拦截了网络流量。在标记程序时,SpyHunter可能会说明它会影响用户的隐私,而不是说明底层技术的细节(可以在我们网站上更详尽的文章中进行描述)。为了进一步描述程序,我们可以选择按每种风险类别对程序进行评分。我们也可以将类别合并为一个评分。
3.风险和同意因素
许多应用程序具有复杂的行为-要最终确定是否将程序标识为危险程序,需要风险评估团队根据我们的政策做出判断。以下是风险建模过程中的关键注意事项:
- 技术/活动是中立的:诸如数据收集之类的技术和活动是中立的,因此视其上下文而定是有害或有用的。在做出决定之前,我们可能会考虑增加风险的因素和增加同意的因素。
- 许多风险因素可以缓解:风险因素表明程序具有某些行为。我们可能会在上下文中考虑此行为,并确定同意因素是否可以减轻风险。某些风险因素可能不会单独导致程序检测,但与其他因素一起考虑时,可能会导致检测。某些风险因素具有足够的影响力,无法缓解,例如通过安全漏洞进行安装。 ESG风险评估团队可以选择始终向用户发出有关此类行为的程序的警报。
- 力求客观,一致的规则:以下概述的因素是客观的,易于一致地应用。但是,某些因素无法通过程序确定。但是,这些因素对用户可能很重要(例如程序对欺骗性文字或图形的使用)。在这些情况下,我们可能会根据自己的内部威胁评估政策确定影响。我们的目标是确定增加风险的因素和增加同意并平衡它们的因素,以确定程序所带来的威胁。
对于希望避免被SpyHunter或我们的在线数据库站点检测到的软件作者的一般建议是:- 最小化风险因素
- 最大化同意因素
4.风险因素(“不良行为”)
以下风险因素是可能会对用户造成伤害或破坏的行为。在某些情况下,可能需要该行为,例如用于个性化的数据收集,但是如果未经授权,仍可能会带来风险。通过提供适当的同意因素,可以减轻许多此类风险。
在某些情况下,即使已经通过EULA或其他方式获得了普遍同意,风险也可能非常严重,因此卖方应确保明确并明显地告知用户该风险。某些监视或安全工具可能就是这种情况。 (想要此功能的用户将在收到明确警告后安装此类程序,并获得知情同意。)但是,无论是否同意,某些风险(例如“通过安全漏洞进行安装”)都可能需要自动检测。
某些风险因素可能很小,不足以单独进行检测。但是,低风险行为可以帮助区分两个相似的程序。此外,可以组合低风险行为,如果存在足够的低风险行为,则可能导致将较高风险分配给程序。在评估风险因素时,我们可能会调查已确认的用户反馈,服务条款协议,最终用户许可协议(“ EULA”)或隐私政策。
我们主要根据软件本身固有的行为对软件进行评分和分类,但我们也会仔细检查安装方法。请注意,安装方法不仅因程序而异,而且还随软件发行商而有所不同,在某些情况下甚至随发行模型而异。如果发现有侵入性,秘密或剥削性安装,我们的风险评估团队会考虑到这一事实。
尽管如果未经授权,所有行为都可能会引起问题,但某些行为由于其影响更大,因此从本质上讲更加严重。因此,对它们的处理更加严格。同样,行为的影响可能会根据执行频率而有所不同。影响还可以根据行为是否与其他关注行为组合以及用户提供的有关特定行为的同意程度而有所不同。
下文第6节中的列表是ESG风险评估小组成员在最终评估威胁评估级别时考虑的一系列风险因素的组合。我们可以根据模型公式权衡风险因素。
5.同意因素(“良好行为”)
如下面第6节中更详细讨论的那样,向用户提供某种程度的通知,同意和控制的程序可以减轻风险因素。某些行为可能会带来如此高的风险,但是,没有任何程度的同意可以减轻这些风险。我们将警告用户这种行为。
重要的是要注意,同意因素是每个行为。如果程序具有多种危险行为,则将分别检查每个程序的同意经历。
尽管所有获得同意的尝试都是有帮助的,但是某些做法可以使ESG更有力地得出结论,即用户理解并同意所讨论的特定行为。权重( 级别1 , 级别2和级别3 )指示同意行为的相对顺序。这些因素应视为累积的。 1级代表不太活跃的同意,而3级代表最活跃的,因此是最高的同意。
同意被纳入评估风险的过程中。例如,在下面的第6节中的列表中,术语“潜在的不良行为”指的是任何程序活动或技术,如果被滥用,它们可能给用户带来风险,例如未经用户同意就收集数据或更改系统设置。
以下列表包含ESG风险评估团队成员在最终评估被评估软件的威胁评估级别时要考虑的同意因素。我们可以权衡我们认为适合我们的建模公式的同意因子。
6.最终威胁评估分数(“威胁评估等级”)
ESG风险评估使用以上概述的建模过程,通过平衡风险因素和同意因素来确定最终威胁评估得分或威胁评估级别 。如上所述,ESG的决定可能与其他供应商的决定不同,但是开发人员通常可以通过最小化风险因素和最大化同意因素来避免其程序获得较高的威胁评估评分。但是,同样,某些风险可能非常严重,以至于ESG始终会告知用户有关影响的信息,而不管同意级别如何。
风险建模过程是一个生动的文档,随着新行为和新技术的出现,它会随着时间而变化。目前,我们在SpyHunter反间谍软件实用程序以及在线数据库中发布的最终威胁评估级别是基于对本文前面各节中描述的“同意因素/风险因素建模过程”的分析和相关性。我们将以彩色条显示威胁/风险级别 ( ),根据建模过程中产生的0到10分,从左到右填充。
下面的列表描述了SpyHunter使用的每种威胁评估级别的功能。 威胁评估级别如下:
- 未知( ),尚未进行评估。
- 安全( ),得分为0:这是安全可靠的程序,没有风险因素和较高的同意因素水平。 SAFE程序的典型行为特征如下:
- 安装与分配
- 通过下载进行分发,以带有明显标签的软件包分发,并且不受联盟3级捆绑销售
- 安装之前需要获得高层的同意,例如注册,激活或购买3级
- 具有清晰明确的设置体验,用户可以取消第3级
- 在EULA 2级之外,明确指出了潜在的不良行为,并进行了显着披露
- 潜在的不良行为是程序预期功能的一部分(即,电子邮件程序有望传输信息) 级别3
- 用户可以选择退出潜在有害行为2级
- 用户必须选择参与可能的有害行为级别3
- 在软件更新级别3之前获得用户同意
- 在使用被动技术(例如跟踪Cookie 级别3)之前获得用户同意
- 捆绑的软件组件(将安装的单独程序)
- 所有捆绑的软件组件均在EULA 2级之外明确标出并公开披露
- 用户可以查看和退出捆绑的组件级别2
- 用户必须选择加入捆绑的组件级别3
- 可见性(运行时)
- 符合行业标准(发布者,产品,文件版本,版权等)的文件和目录具有清晰,可识别的名称和属性( 级别1)
- 文件由发布者2级进行数字签名
- 程序处于活动状态时(系统托盘图标,横幅等)有次要提示2级
- 程序处于活动状态时(应用程序窗口,对话框等),具有主要指示。3级
- 控制(运行时)
- 赞助商程序仅在赞助商程序处于活动状态时运行2级
- 除卸载级别2之外,清除方法以禁用或避免程序
- 程序要求用户明确同意后才能开始(即,双击图标) 3级
- 计划要求加入后才能自动启动3级
- 程序删除
- 在已知位置(例如“添加/删除程序”) 2级提供直观,功能强大的卸载程序
- 程序卸载程序删除所有捆绑的组件2级
- 安装与分配
- 低 ( ), 得分为1到3:低威胁级别的程序通常不会使用户面临隐私风险,并且比其他任何特定危害所造成的困扰更大。它们通常仅将非敏感数据返回到其他服务器。如果它们显示广告,则它们仅在弹出窗口中显示讨厌的广告和影响较小的广告。可以将它们卸载,但是该过程可能比其他程序更困难。通常,在安装过程中不会显示EULA。如果这些低威胁级别程序的软件发布者具有较高的同意度,则我们可以将程序重新分类为安全。 低威胁级别程序的特征可能包括:
- 识别与控制,包括但不限于:
- 没有迹象表明程序正在应用程序中运行,例如图标,工具栏或窗口- 低
- 没有指示程序正在独立运行,例如任务栏,窗口或任务栏图标- 低
- 数据收集,包括但不限于:
- 上传可用于离线和在线跟踪用户行为的数据,以及可能敏感但无法个人识别的其他类型的数据- 低
- 使用跟踪cookie收集信息(提醒:每个反间谍软件供应商都根据其自己的策略权衡行为。ASC建议使用跟踪cookie作为将程序分类为间谍软件的标准的供应商应向用户明确说明他们这样做,让用户有机会就跟踪Cookie是否构成威胁做出明智的市场决定)- 低
- 用户体验,包括但不限于:
- 广告:显示明显归因于源程序的外部广告,例如在程序旁边开始- 低
- 设置:修改用户设置,例如收藏夹,图标,快捷方式等。-低
- 系统完整性:使用非标准方法附加到其他程序,例如浏览器- 低
- 删除,包括但不限于:
- 卸载程序反复尝试刺戳或强迫用户取消卸载- 低
- 识别与控制,包括但不限于:
- 中( ),得分为4到6:在这些威胁级别,程序通常具有欺骗性,恶意和/或令人讨厌的功能。程序还可能带来不便,向最终用户显示误导性信息,或将个人信息和/或网络冲浪习惯传输给恶意软件发布者或身份盗用者。即使这些程序中的某些程序可能表现出很高的同意度,我们也会由于这些恶意软件开发人员的欺骗性,令人讨厌或邪恶的做法而对这些程序进行分类,检测和删除。此中等威胁级别的典型特征可能包括:
- 安装和分发,包括但不限于:
- 在没有用户明确同意,许可或知识的情况下,软件会自动更新,例如不提供或忽略用户取消更新的请求- 中等
- 识别与控制,包括但不限于:
- 程序的识别信息不完整或不正确- 中等
- 程序难以识别的工具(例如包装机)混淆了- 中
- 先前安装的程序无需用户明确同意即可自动运行- 中
- 联网,包括但不限于:
- 用网络流量淹没目标- 中
- 数据收集,包括但不限于:
- 收集个人信息,但将其存储在本地- 中
- 上载任意用户数据,其中一些可以个人识别- 中
- 用户体验,包括但不限于:
- 广告:显示间接归因于源程序的外部广告(例如带有标签的弹出窗口)- 中
- 设置:更改浏览器页面或设置(错误页面,主页,搜索页面等)- 中
- 系统完整性:具有其他风险行为,可能导致频繁的系统不稳定,以及其他风险行为,可能使用过多的资源(CPU,内存,磁盘,句柄,带宽)- 中
- 非程序性行为,包括但不限于
- 包含或散布令人反感的语言和内容- 中
- 包含广告组件,并安装在专门针对13岁以下儿童,针对13岁以下儿童或针对13岁以下儿童使用的网站上或通过这些网站进行安装- 中
- 用途误导,迷惑,欺骗或胁迫文本或图形,或者其他虚假的索赔诱导,强逼,或导致用户安装或运行软件或采取行动(例如点击广告) - 中
- 其他行为,包括但不限于:
- 程序会修改其他应用程序- 中
- 程序生成序列号/注册码- 中
- 安装和分发,包括但不限于:
- 高( ),得分为7到10:在这些威胁级别,ESG风险评估小组通常不会考虑任何同意因素,因为这些程序会对最终用户和整个互联网社区构成严重风险。处于这种威胁级别的程序通常包括键盘记录程序,木马,蠕虫,僵尸网络创建程序,拨号程序,病毒以及恶意反间谍程序的变体。下面是我们在高的威胁等级分类程序行为特征的列表:
- 安装和分发,包括但不限于:
- 复制行为(程序的群发邮件,蠕虫或病毒重新分发)- 高
- 未经用户明确许可或知识(例如不提供或忽略用户取消安装的请求,执行直接安装,使用安全漏洞进行安装或作为软件包的一部分进行安装而没有通知或警告)的安装:高的评级表明一个典型的等级为这个项目和它的相对危险度的比重,取决于安装的项目的影响和/或数量而变化) - 高 。
- 卸载其他应用程序,例如竞争性程序- 高
- 程序下载,捆绑或安装有潜在不良行为的软件(提醒:高等级表示该物品的典型等级及其相对风险。具体重量可能因安装的物品的影响和/或数量而异。)- 高
- 识别与控制,包括但不限于:
- 创建多态或随机命名的文件或注册表项- 高
- 联网,包括但不限于:
- 代理,重定向或中继用户的网络流量或修改网络堆栈- 高
- 创建或修改“主机”文件以转移域引用- 高
- 更改默认的网络设置(宽带,电话,无线等)- 高
- 在没有用户许可或知识的情况下拨打电话号码或保持开放连接- 高
- 更改默认的Internet连接以高价(即正常速率的2倍)进行连接- 高
- 在没有用户许可或知识的情况下发送包括电子邮件,IM和IRC在内的通信- 高
- 数据收集,包括但不限于:
- 发送个人身份信息(提醒:技术是中性的,虐待时,他们只能成为一个高危因素的传输个人身份信息可与通知,并同意接受。) - 高
- 拦截通信,例如电子邮件或IM对话(提醒:技术是中立的,并且仅在被滥用时才成为高风险因素。在适当的情况下,经过通知和同意,拦截通信是可以接受的)- 高
- 计算机安全,包括但不限于:
- 隐藏用户和/或系统工具中的文件,进程,程序窗口或其他信息- 高
- 拒绝访问文件,进程,程序窗口或其他信息- 高
- 允许远程用户更改或访问系统(文件,注册表项,其他数据)- 高
- 允许绕过主机安全性(特权提升,凭据欺骗,密码破解等)- 高
- 允许远程方确定主机或网络上其他位置的漏洞- 高
- 利用主机或网络上其他位置的漏洞- 高
- 允许对计算机进行远程控制,包括创建进程,通过计算机发送垃圾邮件或使用计算机对第三方进行攻击- 高
- 禁用安全软件,例如防病毒或防火墙软件- 高
- 降低安全性设置,例如在浏览器,应用程序或操作系统中- 高
- 允许对应用程序进行远程控制,而不是自我更新- 高
- 用户体验,包括但不限于:
- 广告:显示不属于其源程序的外部广告(这不包括由在线内容用户故意访问的广告,例如网页)。此外,替换或更改网页内容(例如搜索结果或链接)- 高
- 设置:更改文件,设置或过程以减少用户控制- 高
- 系统完整性:禁用或干扰系统功能(右键单击行为,使用系统工具的能力等)- 高
- 删除,包括但不限于:
- 自我修复行为,可防止其组件的拆卸或更改,或需要不寻常,复杂或繁琐的手动步骤来运行卸载程序- 高
- 卸载程序无法从功能上删除程序,例如在重新引导后使组件运行,不提供卸载捆绑的应用程序或静默地重新安装组件的功能- 高
- 没有提供一种简单,标准的方法来永久停止,禁用或卸载程序(例如“添加/删除程序”或类似程序)- 高
- 对于其他风险行为,不提供卸载捆绑或随后安装的软件组件的权限- 高
- 安装和分发,包括但不限于: