SpyHunter風險評估模型

美國Enigma軟件集團有限公司（“ ESG”）向其客戶提供使用ESG的SpyHunter軟件的許可。該許可證不僅允許訪問SpyHunter軟件中強大的惡意軟件清除工具選擇，而且還使用戶可以訪問名為Spyware Helpdesk的服務，該服務可以個性化和個性化地分析和清除影響用戶計算機的惡意軟件。

惡意軟件存在無數種排列方式，並採用了多種欺騙或惡意功能。可以預料，在這種情況下，反間諜軟件供應商的評級系統將產生不同的結果，而一個供應商將其分類為間諜軟件或使用其他潛在有害技術的程序可能會與另一供應商有所不同。根據行業標準並在Internet社區中享有良好信譽，我們認為透明化ESG確定特定軟件是否將被歸類為惡意軟件感染的方法非常重要。

我們已經採用了反間諜軟件聯盟（“ ASC”）的風險模型，並且通過根據對特定感染的分析經驗開發出的內部風險模型來增強了該模型。 （由於ESG已採用ASC的風險模型，因此已將ASC關於ASC風險模型的描述的大部分內容併入了本文檔。）在構建ESG的模型時，我們已識別出可能導致程序被識別為惡意軟件的廣泛行為。 。 由於惡意軟件每天都會進化或變異，因此我們希望隨著發現新的不良做法，列表會隨著時間而變化。

本文檔介紹了我們的風險評估模型。更具體地說：

• 概述了將用戶計算機上的軟件分類為潛在惡意軟件或包含有害技術的通用術語和過程；
• 描述可能導致檢測的行為，以便我們的工程師，技術人員，Internet用戶和客戶對我們的決策過程有更好的了解；和
• 概述了ESG用於對軟件應用程序進行分類的方法。

注意： 我們的風險評估模型基於行為。以下標準是ESG用於確定的關鍵因素。我們可能決定使用全部或部分標準。 通常，程序的等級將 隨著風險行為 而 增加 ， 而 隨著提供用戶同意和控制的 行為 而 降低。在發生獨特事件時，您可能會遇到一個歸類為惡意軟件的有用程序，因為它具有我們標記為惡意軟件的某些方面；因此，建議您在使用SpyHunter進行掃描以檢查計算機上已識別的項目之前，先將其刪除。

1.建模過程概述

ESG用於確定程序分類的方法是風險建模過程：

1. 確定使用的安裝方法
2. 安裝和研究軟件以確定影響範圍
3. 衡量風險因素
4. 衡量同意因素
5. 權衡風險因素與同意因素，以確定適用的分類和級別（如果有）

注意： ESG會權衡並綜合考慮這些因素，稱為“ 威脅評估級別” ，我們將在本文檔中對其進行定義。例如，即使默認情況下此類行為被“關閉”，我們也可能檢測到跟踪用戶的程序。在這種情況下，我們可能會將程序檢測為有害程序或威脅，但將其警告級別設置為低。

2.風險類別概述

間諜軟件和其他可能有害的技術包含了可能與用戶有關的多種行為。我們通常專注於以下領域的技術：

1. 隱私權 –可能會訪問或收集用戶的個人信息或數據，並且用戶將面臨以下風險：
   1. 遭受欺詐或身份盜用
   2. 個人信息丟失
   3. 未經授權的追踪
2. 安全性 –對計算機系統完整性的威脅，例如：
   1. 攻擊計算機，或將其用作攻擊的一部分
   2. 通過降低安全性設置使計算機面臨風險
   3. 以未經授權的方式使用計算機資源
   4. 隱藏用戶程序
3. 用戶體驗 –以優選的方式影響用戶使用計算機的能力，而不會造成乾擾，例如：
   1. 投放意外廣告
   2. 變更設定
   3. 造成系統不穩定或性能降低

這些風險類別不是相互排斥的，並且不限於上述示例。相反，這些風險類別代表了我們檢查的一般領域，它們有助於以簡短的通用語言描述對我們檢查的用戶的影響。

例如，SpyHunter可能會檢測到程序，因為它攔截了網絡流量。在標記程序時，SpyHunter可能會說明它會影響用戶的隱私，而不是說明底層技術的詳細信息（可能會在我們的網站上提供更詳盡的描述）。為了進一步描述程序，我們可以選擇按每種風險類別對程序進行評分。我們也可以將類別合併為一個評分。

3.風險和同意因素

許多應用程序具有復雜的行為-要最終確定是否將程序標識為危險程序，需要風險評估團隊根據我們的政策做出判斷。以下是風險建模過程中的關鍵注意事項：

1. 技術/活動是中立的：諸如數據收集之類的技術和活動是中立的，因此視其上下文而定是有害或有用的。在做出決定之前，我們可能會考慮增加風險的因素和增加同意的因素。
2. 許多風險因素可以緩解：風險因素表明程序具有某些行為。我們可能會在上下文中考慮此行為，並確定同意因素是否可以減輕風險。某些風險因素可能不會單獨導致程序檢測，但與其他因素一起考慮時，可能會導致檢測。某些風險因素具有足夠的影響力，無法緩解，例如通過安全漏洞進行安裝。 ESG風險評估團隊可以選擇始終向用戶發出有關此類行為的程序的警報。
3. 力求客觀，一致的規則：以下概述的因素是客觀的，易於一致地應用。但是，某些因素無法通過程序確定。但是，這些因素對用戶可能很重要（例如程序對欺騙性文字或圖形的使用）。在這些情況下，我們可能會根據自己的內部威脅評估政策確定影響。我們的目標是確定增加風險的因素和增加同意並平衡它們的因素，以確定程序所帶來的威脅。
   對於希望避免被SpyHunter或我們的在線數據庫站點檢測到的軟件作者的一般建議是：
   1. 最小化風險因素
   2. 最大化同意因素

4.風險因素（“不良行為”）

以下風險因素是可能會對用戶造成傷害或破壞的行為。在某些情況下，可能需要該行為，例如用於個性化的數據收集，但是如果未經授權，仍可能會帶來風險。通過提供適當的同意因素，可以減輕許多此類風險。

在某些情況下，即使已經通過EULA或其他方式獲得了普遍同意，風險也可能非常嚴重，因此賣方應確保明確並明顯地告知用戶該風險。某些監視或安全工具可能就是這種情況。 （想要此功能的用戶將在收到明確警告後安裝此類程序，並已獲得知情同意。）但是，無論是否同意，某些風險（例如“通過安全漏洞進行安裝”）都可能需要自動檢測。

某些風險因素可能很小，不足以單獨進行檢測。但是，低風險行為可以幫助區分兩個相似的程序。此外，可以組合低風險行為，如果存在足夠的低風險行為，則可能導致將較高風險分配給程序。在評估風險因素時，我們可能會調查已確認的用戶反饋，服務條款協議，最終用戶許可協議（“ EULA”）或隱私政策。

我們主要根據軟件本身固有的行為對軟件進行評分和分類，但我們也會仔細檢查安裝方法。請注意，安裝方法不僅因程序而異，而且還隨軟件發行商而有所不同，在某些情況下甚至隨發行模型而異。如果發現有侵入性，秘密或剝削性安裝，我們的風險評估團隊會考慮到這一事實。

儘管如果未經授權，所有行為都可能會引起問題，但某些行為由於其影響更大，因此從本質上講更加嚴重。因此，對它們的處理更加嚴格。同樣，行為的影響可能會根據執行頻率而有所不同。影響還可以根據行為是否與其他關注行為組合以及用戶提供的有關特定行為的同意程度而有所不同。

下文第6節中的列表是ESG風險評估團隊成員在最終評估威脅評估級別時考慮的一系列風險因素的組合。我們可以根據模型公式權衡風險因素。

5.同意因素（“良好行為”）

如下面第6節中更詳細討論的那樣，向用戶提供某種程度的通知，同意和控制的程序可以減輕風險因素。某些行為可能會帶來如此高的風險，但是，沒有任何程度的同意可以減輕這些風險。我們將警告用戶這種行為。

重要的是要注意，同意因素是每個行為。如果程序具有多種危險行為，則將分別檢查每個程序的同意經歷。

儘管所有獲得同意的嘗試都是有幫助的，但是某些做法可以使ESG更有力地得出結論，即用戶理解並同意所討論的特定行為。權重（ 級別1 ， 級別2和級別3 ）指示同意行為的相對順序。這些因素應視為累積的。 1級代表不太活躍的同意，而3級代表最活躍的，因此是最高的同意。

同意被納入評估風險的過程中。例如，在下面的第6節中的列表中，術語“潛在的不良行為”指的是任何程序活動或技術，如果被濫用，它們可能給用戶帶來風險，例如未經用戶同意就收集數據或更改系統設置。

以下列表包含ESG風險評估團隊成員在最終評估被評估軟件的威脅評估級別時要考慮的同意因素。我們可以權衡我們認為適合我們的建模公式的同意因子。

6.最終威脅評估分數（“威脅評估等級”）

ESG風險評估使用以上概述的建模過程，通過平衡風險因素和同意因素來確定最終威脅評估得分或威脅評估級別 。如上所述，ESG的決定可能與其他供應商的決定不同，但是開發人員通常可以通過最小化風險因素和最大化同意因素來避免其程序獲得較高的威脅評估評分。但是，同樣，某些風險可能非常嚴重，以至於ESG始終會告知用戶有關影響的信息，而不管同意級別如何。

風險建模過程是一個生動的文檔，隨著新行為和新技術的出現，它會隨著時間而變化。目前，我們在SpyHunter反間諜軟件實用程序以及在線數據庫中發布的最終威脅評估級別是基於對本文前面各節中描述的“同意因素/風險因素建模過程”的分析和相關性。我們將以彩色條顯示威脅/風險級別 （ ），根據建模過程中產生的0到10分從左至右填充。

下面的列表描述了SpyHunter使用的每種威脅評估級別的功能。 威脅評估級別如下：

1. 未知（ ），尚未進行評估。
2. 安全（ ），得分為0：這是安全可靠的程序，沒有風險因素和較高的同意因素水平。 SAFE程序的典型行為特徵如下：
   1. 安裝與分配
      • 通過下載進行分發，以帶有明顯標籤的軟件包分發，並且不受聯盟3級捆綁銷售
      • 安裝之前需要獲得高層的同意，例如註冊，激活或購買3級
      • 具有清晰明確的設置體驗，用戶可以取消第3級
      • 在EULA 2級之外，明確指出了潛在的不良行為，並進行了顯著披露
      • 潛在的不良行為是程序預期功能的一部分（即，電子郵件程序有望傳輸信息） 級別3
      • 用戶可以選擇退出潛在有害行為2級
      • 用戶必須選擇參與可能的有害行為級別3
      • 在軟件更新級別3之前獲得用戶同意
      • 在使用被動技術（例如跟踪Cookie 級別3）之前獲得用戶同意
   2. 捆綁的軟件組件（將安裝的單獨程序）
      • 所有捆綁的軟件組件均在EULA 2級之外明確標出並公開披露
      • 用戶可以查看和退出捆綁的組件級別2
      • 用戶必須選擇加入捆綁的組件級別3
   3. 可見性（運行時）
      • 符合行業標準（發布者，產品，文件版本，版權等）的文件和目錄具有清晰，可識別的名稱和屬性（ 級別1）
      • 文件由發布者2級進行數字簽名
      • 程序處於活動狀態時（系統托盤圖標，橫幅等）有次要提示2級
      • 程序處於活動狀態時（應用程序窗口，對話框等），具有主要指示。3級
   4. 控制（運行時）
      • 贊助商程序僅在讚助商程序處於活動狀態時運行2級
      • 除卸載級別2之外，清除方法以禁用或避免程序
      • 程序要求用戶明確同意後才能開始（即，雙擊圖標） 3級
      • 計劃要求加入後才能自動啟動3級
   5. 程序刪除
      • 在已知位置（例如“添加/刪除程序”） 2級提供直觀，功能強大的卸載程序
      • 程序卸載程序刪除所有捆綁的組件2級
3. 低 （ ）， 得分為1到3：低威脅級別的程序通常不會使用戶面臨隱私風險，並且比其他任何特定危害所造成的困擾更大。它們通常僅將非敏感數據返回到其他服務器。如果它們顯示廣告，則它們僅在彈出窗口中顯示討厭的廣告和影響較小的廣告。可以將它們卸載，但是該過程可能比其他程序更困難。通常，在安裝過程中不會顯示EULA。如果這些低威脅級別程序的軟件發布者俱有較高的同意度，則我們可以將程序重新分類為安全。 低威脅級別程序的特徵可能包括：
   1. 識別與控制，包括但不限於：
      • 沒有跡象表明程序正在應用程序中運行，例如圖標，工具欄或窗口- 低
      • 沒有指示程序正在獨立運行，例如任務欄，窗口或任務欄圖標- 低
   2. 數據收集，包括但不限於：
      • 上傳可用於離線和在線跟踪用戶行為的數據，以及可能敏感但無法個人識別的其他類型的數據- 低
      • 使用跟踪cookie收集信息（提醒：每個反間諜軟件供應商都根據自己的策略權衡行為。ASC建議使用跟踪cookie作為將程序歸類為間諜軟件的標準的供應商應向用戶明確說明他們這樣做，讓用戶有機會就跟踪Cookie是否構成威脅做出明智的市場決定）- 低
   3. 用戶體驗，包括但不限於：
      • 廣告：顯示明顯歸因於源程序的外部廣告，例如在程序旁邊開始- 低
      • 設置：修改用戶設置，例如收藏夾，圖標，快捷方式等。-低
      • 系統完整性：使用非標準方法附加到其他程序，例如瀏覽器- 低
   4. 刪除，包括但不限於：
      • 卸載程序反复嘗試刺戳或強迫用戶取消卸載- 低
4. 中（ ），得分為4到6：在這些威脅級別，程序通常具有欺騙性，惡意和/或令人討厭的功能。這些程序還可能造成不便，向最終用戶顯示誤導性信息，或將個人信息和/或網絡衝浪習慣傳送給惡意軟件發布者或身份盜用者。即使這些程序中的某些程序可能表現出較高的同意度，我們也會由於這些惡意軟件開發人員的欺騙性，令人討厭或邪惡的做法對這些程序進行分類，檢測和刪除。此中等威脅級別的典型特徵可能包括：
   1. 安裝和分發，包括但不限於：
      • 在沒有用戶明確同意，許可或知識的情況下，軟件會自動更新，例如不提供或忽略用戶取消更新的請求- 中等
   2. 識別與控制，包括但不限於：
      • 程序的識別信息不完整或不正確- 中等
      • 程序難以識別的工具（例如包裝機）混淆了- 中
      • 先前安裝的程序無需用戶明確同意即可自動運行- 中
   3. 聯網，包括但不限於：
      • 用網絡流量淹沒目標- 中
   4. 數據收集，包括但不限於：
      • 收集個人信息，但將其存儲在本地- 中
      • 上載任意用戶數據，其中一些可以個人識別- 中
   5. 用戶體驗，包括但不限於：
      • 廣告：顯示間接歸因於源程序的外部廣告（例如帶有標籤的彈出窗口）- 中
      • 設置：更改瀏覽器頁面或設置（錯誤頁面，主頁，搜索頁面等）- 中
      • 系統完整性：具有其他風險行為，可能導致頻繁的系統不穩定，以及其他風險行為，可能使用過多的資源（CPU，內存，磁盤，句柄，帶寬）- 中
   6. 非程序性行為，包括但不限於
      • 包含或散佈令人反感的語言和內容- 中
      • 包含廣告組件，並安裝在專門針對13歲以下兒童，針對13歲以下兒童或針對13歲以下兒童使用的網站上或通過這些網站進行安裝- 中
      • 用途誤導，迷惑，欺騙或脅迫文本或圖形，或者其他虛假的索賠誘導，強逼，或導致用戶安裝或運行軟件或採取行動（例如點擊廣告） - 中
   7. 其他行為，包括但不限於：
      • 程序會修改其他應用程序- 中
      • 程序生成序列號/註冊碼- 中
5. 高（ ），得分為7到10：在這些威脅級別，ESG風險評估小組通常不會考慮任何同意因素，因為這些程序會對最終用戶和整個互聯網社區構成嚴重風險。處於這種威脅級別的程序通常包括鍵盤記錄程序，木馬，蠕蟲，殭屍網絡創建程序，撥號程序，病毒以及惡意反間諜程序的變體。下面是我們在高的威脅等級分類程序行為特徵的列表：
   1. 安裝和分發，包括但不限於：
      • 複製行為（程序的群發郵件，蠕蟲或病毒重新分發）- 高
      • 未經用戶明確許可或知識（例如不提供或忽略用戶取消安裝的請求，執行直接安裝，使用安全漏洞進行安裝或作為軟件包的一部分進行安裝而沒有通知或警告）的安裝：高的評級表明一個典型的等級為這個項目和它的相對危險度的比重，取決於安裝的項目的影響和/或數量而變化） - 高 。
      • 卸載其他應用程序，例如競爭性程序- 高
      • 程序下載，捆綁或安裝有潛在不良行為的軟件（提醒：高等級表示該物品的典型等級及其相對風險。具體重量可能因安裝的物品的影響和/或數量而異。）- 高
   2. 識別與控制，包括但不限於：
      • 創建多態或隨機命名的文件或註冊表項- 高
   3. 聯網，包括但不限於：
      • 代理，重定向或中繼用戶的網絡流量或修改網絡堆棧- 高
      • 創建或修改“主機”文件以轉移域引用- 高
      • 更改默認的網絡設置（寬帶，電話，無線等）- 高
      • 在沒有用戶許可或知識的情況下撥打電話號碼或保持開放連接- 高
      • 更改默認的Internet連接以高價（即正常速率的2倍）進行連接- 高
      • 在沒有用戶許可或知識的情況下發送包括電子郵件，IM和IRC在內的通信- 高
   4. 數據收集，包括但不限於：
      • 發送個人身份信息（提醒：技術是中性的，虐待時，他們只能成為一個高危因素的傳輸個人身份信息可與通知，並同意接受。） - 高
      • 攔截諸如電子郵件或IM對話之類的通信（提醒：技術是中立的，並且僅在被濫用時才成為高風險因素。在適當的情況下，經通知和同意，攔截通信是可以接受的）- 高
   5. 計算機安全，包括但不限於：
      • 隱藏用戶和/或系統工具中的文件，進程，程序窗口或其他信息- 高
      • 拒絕訪問文件，進程，程序窗口或其他信息- 高
      • 允許遠程用戶更改或訪問系統（文件，註冊表項，其他數據）- 高
      • 允許繞過主機安全性（特權提升，憑據欺騙，密碼破解等）- 高
      • 允許遠程方確定主機或網絡上其他位置的漏洞- 高
      • 利用主機或網絡上其他位置的漏洞- 高
      • 允許對計算機進行遠程控制，包括創建進程，通過計算機發送垃圾郵件或使用計算機對第三方進行攻擊- 高
      • 禁用安全軟件，例如防病毒或防火牆軟件- 高
      • 降低安全性設置，例如在瀏覽器，應用程序或操作系統中- 高
      • 允許對應用程序進行遠程控制，而不是自我更新- 高
   6. 用戶體驗，包括但不限於：
      • 廣告：顯示不屬於其源程序的外部廣告（這不包括由在線內容用戶故意訪問的廣告，例如網頁）。此外，替換或更改網頁內容（例如搜索結果或鏈接）- 高
      • 設置：更改文件，設置或過程以減少用戶控制- 高
      • 系統完整性：禁用或乾擾系統功能（右鍵單擊行為，使用系統工具的能力等）- 高
   7. 刪除，包括但不限於：
      • 自我修復行為，可防止其組件的拆卸或更改，或需要不尋常，複雜或繁瑣的手動步驟來運行卸載程序- 高
      • 卸載程序無法從功能上刪除程序，例如在重新引導後使組件運行，不提供卸載捆綁的應用程序或靜默地重新安裝組件的功能- 高
      • 沒有提供一種簡單，標準的方法來永久停止，禁用或卸載程序（例如“添加/刪除程序”或類似程序）- 高
      • 對於其他風險行為，不提供卸載捆綁或隨後安裝的軟件組件的權限- 高