SpyHunter的威胁评估标准
以下对 SpyHunter 的威胁评估标准模型的描述,适用于 SpyHunter Pro、SpyHunter Basic 和 SpyHunter for Mac,以及 SpyHunter Web Security(包括与 SpyHunter Pro、SpyHunter Basic 和 SpyHunter for Mac 相关的版本和 独立版)(以下统称为“SpyHunter”),旨在帮助用户了解 SpyHunter 在识别和一般分类恶意软件、可能不需要的程序 (PUP)、可能不安全的网站和 IP 地址、隐私问题、 易受攻击的应用程序和其他对象。。
通常,恶意软件可能包括间谍软件,广告软件,特洛伊木马,勒索软件,蠕虫,病毒和Rootkit。恶意软件通常代表一种安全威胁,应尽快将其从系统中删除。
另一类程序用户通常想要解决并可能想要删除的程序包括潜在有害程序 (PUP) 和/或可能不安全的网站和 IP 地址。 PUP 是用户可能认为不需要的软件(即使用户可能同意安装它或希望继续使用它)。 PUP 可能会做出不受欢迎的行为,例如在 Web 浏览器中安装工具栏、显示广告以及更改默认浏览器主页和/或搜索引擎。 PUP 还可能消耗系统资源并导致操作系统变慢、崩溃、安全漏洞和其他问题。 潜在不安全的网站和 IP 地址可能会传播恶意软件、病毒、特洛伊木马、键盘记录程序和/或 PUP。 潜在不安全的网站和 IP 地址也可能参与网络钓鱼、数据盗窃和/或其他诈骗或未经授权的行为。
尽管一直存在关于Cookie以及它们对用户系统构成问题或威胁的程度(如果有的话)的争论,但随着时间的推移,cookie已被许多用户识别为潜在的隐私风险。 Cookie(取决于开发人员的设计目标)可能会在您上网时用于跟踪您的个人信息和浏览习惯。设置cookie的公司可能会检索信息。用户可能希望删除这些对象以帮助维护其在线隐私。由于某些用户将跟踪cookie视为潜在的隐私问题,因此SpyHunter会在用户系统上检测到一些(但不是全部)cookie。对于SpyHunter检测到的cookie,用户可以选择允许其在各自的系统上运行,也可以根据个人喜好将其删除。
EnigmaSoft将基于机器的静态和动态分析(包括启发式和预测性行为原理)与一般用户体验指标及其自身的技术专长相结合,以分析可执行文件和其他对象的行为和结构。通过这些和其他专有过程,EnigmaSoft将对象分类为包括恶意软件,PUP和隐私问题在内的类别,以检测,阻止和/或删除项目以保护用户。
与某些其他反恶意软件程序开发人员一样,EnigmaSoft还考虑并利用了标准,更新数据和标准来设置其威胁评估标准,这些标准可从受尊敬的第三方反恶意软件研究来源获得。例如,EnigmaSoft考虑由AppEsteem,Inc.制定的标准和标准,尤其包括AppEsteem的ACR(" AppEsteem认证标准")。再举一个例子,EnigmaSoft考虑了反间谍软件联盟(" ASC") 先前 在设置其威胁评估标准时所 建立的风险模型中的潜在相关因素 ,包括ASC风险模型的各个实质性部分。 EnigmaSoft凭借其技术专长,不断研究和更新恶意软件风险以及用户开发EnigmaSoft特定标准的经验,增强了其SpyHunter威胁评估标准。在构建EnigmaSoft的威胁评估标准模型时,我们确定了EnigmaSoft用来对SpyHunter的可执行文件和其他对象进行分类的一组特定功能和行为。 由于恶意软件、PUP、不安全的网站和 IP 地址和/或其他潜在威胁或令人反感的程序在不断发展和适应,随着新的不良做法被发现和利用,我们会随着时间的推移不断重新评估和重新定义我们的风险评估模型。
该文档通常描述了我们的威胁评估标准。更具体地说:
- 概述了将用户计算机上的软件分类为潜在恶意软件或包含有害技术的通用术语和过程;
- 描述可能导致检测的行为,以便我们的工程师,技术人员,Internet用户和客户对我们的决策过程有更好的了解;和
- 概述了 EnigmaSoft 用于对软件应用程序、网站和 IP 地址进行分类的方法。
注意: 我们的威胁评估标准基于行为。下面的标准是EnigmaSoft用来确定的关键因素,但不一定每一个实例都适用它们。因此,我们可能决定使用全部或部分标准以及其他因素-所有这些都是为了最好地保护我们的用户。 通常,程序的等级将随着风险行为 而 增加 , 而 随着提供用户同意和控制的 行为 而 降低。在极少数情况下,您可能会遇到一个有用的程序,该程序被归类为恶意软件,因为它具有我们标记为恶意软件的某些方面;因此,建议您在使用SpyHunter进行扫描以检查计算机上已识别的项目之前,先将其删除。
1.建模过程概述
威胁评估标准风险建模过程是EnigmaSoft用于确定程序分类的通用方法:
- 确定使用的安装方法
- 安装和研究软件以确定影响范围
- 衡量风险因素
- 衡量同意因素
- 权衡风险因素与同意因素,以确定适用的分类和级别(如果有)
注意: EnigmaSoft将权衡并综合考虑这些因素,称为" 威胁评估级别" ,我们将在本文档中对其进行定义。例如,即使默认情况下此类行为被"关闭",我们也可能检测到跟踪用户的程序。在这种情况下,我们可能会将程序检测为潜在有害程序或威胁,但是将其警告级别设置为低。
2.风险类别概述
恶意软件和其他潜在有害程序(PUP)包含可能引起用户关注的多种行为。我们通常专注于以下领域的技术:
- 隐私权 – 可能会访问,收集和/或泄露用户的敏感个人信息或数据,并且用户可能面临以下风险:
- 遭受欺诈或身份盗用
- 个人信息丢失
- 未经授权的追踪
- 安全性 –对计算机系统完整性的威胁,例如:
- 攻击计算机,或将其用作攻击的一部分
- 通过降低安全性设置使计算机面临风险
- 以未经授权的方式使用计算机资源
- 隐藏用户程序
- 使用户遭受勒索软件攻击或以其他方式破坏用户数据
- 用户体验 –以优选的方式影响用户使用计算机的能力,而不会造成干扰,例如:
- 投放意外广告
- 未经用户披露和/或同意而更改设置
- 造成系统不稳定或性能降低
这些风险类别不是相互排斥的,并且不限于上述示例。相反,这些风险类别代表了我们检查的一般领域,它们有助于以简短的通用语言描述对我们检查的用户的影响。
例如,SpyHunter可能会检测到程序,因为它拦截了网络流量。在标记程序时,SpyHunter可能会说明它会影响用户的隐私,而不是说明底层技术的细节(可以在我们网站上更详尽的文章中进行描述)。为了进一步描述程序,我们可以选择按每种风险类别对程序进行评分。我们也可以将类别合并为一个评分。
3.风险和同意因素
许多应用程序具有复杂的行为-根据我们的研究,经验和政策,最终确定是否将程序标识为危险程序需要风险评估团队做出判断。以下是风险建模过程中的关键注意事项:
- 技术/活动是中立的:诸如数据收集之类的技术和活动是中立的,因此视其上下文而定是有害或有用的。在做出决定之前,我们可能会考虑增加风险的因素和增加同意的因素。
- 许多风险因素可以缓解:风险因素表明程序具有某些行为。我们可能会在上下文中考虑此行为,并确定同意因素是否可以减轻风险。某些风险因素可能不会单独导致程序检测,但与其他因素一起考虑时,可能会导致检测。某些风险因素具有足够的影响力,无法缓解,例如通过安全漏洞进行安装。 EnigmaSoft风险评估团队可能会选择始终向用户发出有关此类行为的程序的警报。
- 力求客观,一致的规则:以下概述的因素通常是客观的并且易于一致地应用。但是,某些因素无法通过程序确定。但是,这些因素对用户可能很重要(例如程序对欺骗性文字或图形的使用)。在这些情况下,我们可能会根据自己的内部威胁评估政策确定影响。我们的目标是确定增加风险的因素和增加同意并平衡它们的因素,以确定程序所带来的威胁。
- 对于希望避免被SpyHunter或我们的在线数据库站点检测到的软件作者的一般建议是:
- 最小化风险因素
- 最大化同意因素
4.风险因素("不良行为")
以下风险因素是可能会对用户造成伤害或破坏的行为。在某些情况下,可能需要该行为,例如用于个性化的数据收集,但是如果未经授权,仍可能会带来风险。通过提供适当的同意因素,可以减轻许多此类风险。
在某些情况下,即使已经通过EULA / TOS或其他方式获得了普遍同意,风险也可能非常严重,因此卖方应确保将风险明确告知用户。某些监视或安全工具可能就是这种情况。 (想要此功能的用户将在收到明确警告后安装此类程序,并获得知情同意。)但是,无论是否同意,某些风险(例如"通过安全漏洞进行安装")都可能需要自动检测。
某些风险因素可能很小,不足以单独进行检测。但是,低风险行为可以帮助区分两个相似的程序。此外,可以组合低风险行为,如果存在足够的低风险行为,则可能导致将较高风险分配给程序。 我们可能会考虑许多因素,包括调查确认的用户反馈,我们可用于识别恶意软件,威胁和/或PUP的常规资源,服务条款(TOS)协议,最终用户许可协议(EULA)或评估风险因素时的隐私政策。
我们主要根据软件本身固有的行为对软件进行评分和分类,但我们也会仔细检查安装方法。请注意,安装方法不仅因程序而异,而且还随软件发行商而有所不同,在某些情况下甚至随发行模型而异。如果发现有侵入性,秘密或剥削性安装,我们的风险评估团队会考虑到这一事实。
尽管如果未经授权,所有行为都可能会引起问题,但某些行为由于其影响更大,因此从本质上讲更加严重。因此,对它们的处理更加严格。同样,行为的影响可能会根据执行频率而有所不同。影响还可以根据行为是否与其他关注行为组合以及用户提供的有关特定行为的同意程度而有所不同。
下文第6节中的列表是EnigmaSoft风险评估团队成员在威胁评估级别的最终评估中考虑的一组综合风险因素。我们可以根据模型公式权衡风险因素。 注意:如果任何软件发行商的合法公司或实体仅在CIS(独立国家联合体) , 中华人民共和国(中华人民共和国)或NAM(不结盟运动)国家居住,而在该国没有任何法律实体或公司住所美国及其领土,欧盟和英联邦(包括英国,加拿大,澳大利亚,新西兰,香港和其他最高的人均会员),我们可能会确定该发布者软件的风险因素可能很高,因此我们可能会将其在我们的软件数据库和网站中的产品和服务归类为风险软件。仅位于独联体,中华人民共和国和不列颠哥伦比亚省的国家通常不在西方法律及其执法机构的管辖范围之内。
5.同意因素("良好行为")
如下面第6节中更详细讨论的那样,向用户提供某种程度的通知,同意和控制的程序可以减轻风险因素。某些行为可能会带来如此高的风险,但是,没有任何程度的同意可以减轻这些风险。我们通常会警告用户这种行为。
重要的是要注意,同意因素是每个行为。如果程序具有多种危险行为,则将分别检查每个程序的同意经历。
尽管所有获得同意的尝试都是有帮助的,但是某些做法可以使EnigmaSoft得出更强有力的结论,即用户理解并同意所讨论的特定行为。权重级别 ( 级别1 , 级别2和级别3 )表示同意行为的相对顺序。这些因素应视为累积的。 1级代表不太活跃的同意,而3级代表最活跃的,因此是最高的同意。
同意被纳入评估风险的过程中。例如,在下面的第6节中的列表中,术语"潜在的不良行为"指的是任何程序活动或技术,如果被滥用,它们可能给用户带来风险,例如未经用户同意就收集数据或更改系统设置。
以下列表包含EnigmaSoft风险评估团队成员在最终评估被评估软件的威胁评估级别时要考虑的同意因素。我们可以权衡我们认为适合我们的建模公式的同意因子。
6.最终威胁评估分数("威胁评估等级")
EnigmaSoft风险评估使用上述建模过程,通过平衡风险因素和同意因素来确定最终威胁评估得分或威胁评估级别 。如前所述,EnigmaSoft的决定可能与其他供应商的决定不同,但是开发人员通常可以通过最小化风险因素和最大化同意因素来避免其程序获得较高的威胁评估评分。同样,某些风险可能非常严重,以至于EnigmaSoft始终会告知用户有关影响的信息,而不管其同意程度如何。
风险建模过程是一个生动的文档,随着新行为和新技术的出现,它会随着时间而变化。目前,我们在SpyHunter和在线数据库中发布的最终威胁评估级别基于整个文档中所描述的"同意因素/风险因素建模过程"的分析和相关性。 确定的对象严重性级别基于建模过程中产生的0到10分。
下面的列表描述了SpyHunter使用的每种威胁评估级别的功能。 威胁评估级别如下:
- 未知 ,尚未评估。
- 安全 ,得分为0:这是安全且可信赖的程序, 根据我们所掌握的知识,我们了解没有危险因素,并且确实有较高的同意因素水平。 SAFE程序的典型行为特征如下:
- 安装与分配
- 通过下载进行分发,以带有明显标签的软件包分发,并且不受联盟3级捆绑销售
- 安装之前需要获得高层的同意,例如注册,激活或购买3级
- 具有清晰明确的设置体验,用户可以取消第3级
- 在EULA / TOS 2级之外,明确指出了潜在的不良行为,并进行了显着披露
- 潜在的不良行为是程序预期功能的一部分(即,电子邮件程序有望传输信息) 级别3
- 用户可以选择退出潜在有害行为2级
- 用户必须选择参与可能的有害行为级别3
- 在我们的 3级 模型下,必要时在软件更新之前获得用户同意
- 在我们的 3级 模型下,在必要时使用被动技术(例如跟踪cookie)之前需要征得用户的同意
- 捆绑的软件组件(将安装的单独程序)
- 所有捆绑的软件组件均在EULA / TOS 2级之外明确标出并公开披露
- 用户可以查看和退出捆绑的组件级别2
- 用户必须选择加入捆绑的组件级别3
- 可见性(运行时)
- 符合行业标准(发布者,产品,文件版本,版权等)的文件和目录具有清晰,可识别的名称和属性( 级别1)
- 文件由发布者进行数字签名,并具有信誉良好的 2级 权威机构的有效数字签名。
- 程序处于活动状态时(系统托盘图标,横幅等)有次要提示2级
- 程序处于活动状态时(应用程序窗口,对话框等),具有主要指示。3级
- 控制(运行时)
- 赞助商程序仅在赞助商程序处于活动状态时运行2级
- 除卸载级别2之外,清除方法以禁用或避免程序
- 程序要求用户明确同意后才能开始(即,双击图标) 3级
- 程序需要选择加入,然后自动启动 或 适当 披露启动程序 ,必要时在我们的 3级 模型下
- 程序删除
- 在已知位置(例如"添加/删除程序") 2级提供直观,功能强大的卸载程序
- 程序卸载程序删除所有捆绑的组件2级
- 安装与分配
- 低 , 得分1至3:低威胁级别程序通常不会使用户面临隐私风险。它们通常仅将非敏感数据返回到其他服务器。 低威胁级别的程序可能会显示令人讨厌且侵入性的广告,这些广告可能无法清晰地标识为来自该程序。可以将它们卸载,但是该过程可能比其他程序更困难。通常,在安装过程中不会显示EULA / TOS 。如果这些低威胁级别程序的软件发布者具有较高的同意度,则我们可以将程序重新分类为安全。 低威胁级别程序的特征可能包括:
- 识别与控制,包括但不限于:
- 没有迹象表明程序正在应用程序中运行,例如图标,工具栏或窗口- 低
- 没有指示程序正在独立运行,例如任务栏,窗口或任务栏图标- 低
- 数据收集,包括但不限于:
- 上传可用于离线和在线跟踪用户行为的数据,以及可能敏感但无法个人识别的其他类型的数据- 低
- 使用跟踪cookie收集信息- 低
- 用户体验,包括但不限于:
- 广告:显示明显归因于源程序的外部广告,例如在程序旁边开始- 低
- 设置:修改用户设置,例如收藏夹,图标,快捷方式等。-低
- 系统完整性:使用非标准方法附加到其他程序,例如浏览器- 低
- 删除,包括但不限于:
- 卸载程序反复尝试刺戳或强迫用户取消卸载- 低
- 识别与控制,包括但不限于:
- 中等 (4-6分):在这些威胁级别,程序通常具有欺骗性,恶意和/或令人讨厌的功能。程序还可能带来不便,向最终用户显示误导性信息,或将个人信息和/或网络冲浪习惯传输给恶意软件发布者或身份盗用者。即使这些程序中的某些程序可能表现出很高的同意度,我们也会由于这些恶意软件开发人员的欺骗性,令人讨厌或邪恶的做法而对这些程序进行分类,检测和删除。此中等威胁级别的典型特征可能包括:
- 安装和分发,包括但不限于:
- 未经用户明确同意,许可或知识(例如不提供或忽略用户取消更新的请求)的软件自动更新,除非在我们的模型下必要或适当 - 中等
- 识别与控制,包括但不限于:
- 程序的识别信息不完整或不正确- 中等
- 程序被难以识别的工具所迷惑,例如包装工- 中
- 联网,包括但不限于:
- 用网络流量淹没目标- 中
- 数据收集,包括但不限于:
- 收集个人信息,但将其存储在本地- 中
- 上载任意用户数据,其中一些可以个人识别- 中
- 用户体验,包括但不限于:
- 广告:显示隐式或间接归因于源程序的外部广告(例如带有标签的弹出窗口)- 中
- 设置:更改浏览器页面或设置而无需披露和/或同意(错误页面,主页,搜索页面等) ,除非在我们的模型下必要或适当 - 中等
- 系统完整性:具有其他风险行为,可能导致频繁的系统不稳定,以及其他风险行为,可能使用过多的资源(CPU,内存,磁盘,句柄,带宽)- 中
- 非程序性行为,包括但不限于
- 包含或散布令人反感的语言和内容- 中
- 包含广告组件,并安装在专门针对13岁以下儿童,针对13岁以下儿童或针对13岁以下儿童使用的网站上或通过这些网站进行安装- 中
- 用途误导,迷惑,欺骗或胁迫文本或图形,或者其他虚假的索赔诱导,强逼,或导致用户安装或运行软件或采取行动(例如点击广告) - 中
- 其他行为,包括但不限于:
- 程序在未经披露和/或同意的情况下修改其他应用程序,除非在我们的模型下有必要或适当 - 中等
- 程序以未经授权的方式生成序列号/注册码- 中
- 安装和分发,包括但不限于:
- 高 (7至10分):在这些威胁级别,EnigmaSoft风险评估团队通常不会考虑任何同意因素,因为这些程序对最终用户和整个Internet社区都构成了严重的风险。处于这种威胁级别的程序通常包括键盘记录程序,木马, 勒索软件,rootkit,蠕虫,僵尸网络创建程序,拨号程序,病毒以及恶意反间谍程序的变体。下面是我们在高的威胁等级分类程序行为特征的列表:
- 安装和分发,包括但不限于:
- 复制行为(程序的群发邮件,蠕虫或病毒重新分发)- 高
- 未经用户明确许可或知识(例如不提供或忽略用户取消安装的请求,执行直接安装,使用安全漏洞进行安装或作为软件包的一部分进行安装而没有通知或警告)的安装:高的评级表明一个典型的等级为这个项目和它的相对危险度的比重,取决于安装的项目的影响和/或数量而变化) - 高 。
- 卸载其他应用程序, 竞争 程序和安全程序 ,除非在我们的模式下必要或适当时除外 - 高
- 程序下载,捆绑或安装有潜在不良行为的软件(提醒:高等级表示该物品的典型等级及其相对风险。具体重量可能因安装的物品的影响和/或数量而异。)- 高
- 识别与控制,包括但不限于:
- 创建多态或随机命名的文件或注册表项,除非在我们的模型下必要或适当时使用 - 高
- 联网,包括但不限于:
- 代理,重定向或中继用户的网络流量或修改网络堆栈- 高
- 创建或修改"主机"文件以转移域引用,除非在我们的模型下必要或适当时使用 - 高
- 更改默认网络设置(宽带,电话,无线等), 而无需披露和/或同意,除非在我们的模型下必要或适当时 - 高
- 在没有用户许可或知识的情况下拨打电话号码或保持开放连接- 高
- 更改默认的Internet连接以高价(即正常速率的2倍)进行连接- 高
- 在没有用户许可或知识的情况下发送包括电子邮件,IM和IRC在内的通信- 高
- 数据收集,包括但不限于:
- 传输个人身份数据, 无需披露和/或同意,除非在我们的模型下有必要或适当时 (提醒:技术是中立的,并且仅在被滥用时才成为高风险因素。同意)- 高
- 拦截通信,如电子邮件或IM对话, 无需披露及/或同意,除非必要,或我们的模型 (提醒下适用 :技术是中性的,一旦被滥用,他们只能成为一个高风险因素截取通讯可以接受的。 (在适当的情况下,需要获得通知和同意)- 高
- 计算机安全,包括但不限于:
- 隐藏用户和/或系统工具中的文件,进程,程序窗口或其他信息- 高
- 拒绝访问文件,进程,程序窗口或其他信息- 高
- 允许远程用户更改或访问系统(文件,注册表项,其他数据)- 高
- 允许绕过主机安全性(特权提升,凭据欺骗,密码破解等)- 高
- 允许远程方识别主机上或网络上其他地方的漏洞,除非在我们的模型下有必要或适当时,否则 - 高
- 利用主机或网络上其他位置的漏洞- 高
- 允许对计算机进行远程控制,包括创建进程,通过计算机发送垃圾邮件或使用计算机对第三方进行攻击- 高
- 禁用安全软件,例如防病毒或防火墙软件- 高
- 降低安全性设置,例如在浏览器,应用程序或操作系统中- 高
- 允许对应用程序进行远程控制,而不是自我更新- 高
- 用户体验,包括但不限于:
- 广告:显示未归因于他们的源程序外部广告(这不包括与在线内容的广告用户故意参观,如网页)。此外,替换或以其他方式更改网页内容,例如搜索结果或链接,除非在我们的模型下有必要或适当时 - 高
- 设置:更改文件,设置或过程以减少用户控制, 无需披露和/或同意,除非在我们的模型下必要或适当时 - 高
- 系统完整性:禁用或与系统功能(右键点击行为,能够使用系统工具等), 不披露及/或同意干涉,除非必要,或我们的模型在适当的 - 高
- 删除,包括但不限于:
- 自我修复行为,可防止拆卸或更改其组件,或需要不寻常,复杂或繁琐的手动步骤来运行卸载程序,除非在我们的型号下必要或适当时除外 - 高
- 卸载程序无法从功能上删除程序,例如在重新引导后使组件运行,不提供卸载捆绑的应用程序或静默地重新安装组件的功能- 高
- 没有提供一种简单,标准的方法来永久停止,禁用或卸载程序(例如"添加/删除程序"或等效程序)- 高
- 对于其他风险行为,不提供卸载捆绑或随后安装的软件组件的权限- 高
- 安装和分发,包括但不限于: