SpyHunter的威脅評估標準

以下對 SpyHunter 的威脅評估標準模型的描述,適用於 SpyHunter Pro、SpyHunter Basic 和 SpyHunter for Mac,以及 SpyHunter Web Security(包括與 SpyHunter Pro、SpyHunter Basic 和 SpyHunter for Mac 相關的版本和 獨立版)(以下統稱為“SpyHunter”),旨在幫助用戶了解 SpyHunter 在識別和一般分類惡意軟件、可能不需要的程序 (PUP)、可能不安全的網站和 IP 地址、隱私問題、 易受攻擊的應用程序和其他對象。

通常,惡意軟件可能包括間諜軟件,廣告軟件,特洛伊木馬,勒索軟件,蠕蟲,病毒和Rootkit。惡意軟件通常代表一種安全威脅,應盡快將其從系統中刪除。

另一類程序用戶通常想要解決並可能想要刪除的程序包括潛在有害程序 (PUP) 和/或可能不安全的網站和 IP 地址。 PUP 是用戶可能認為不需要的軟件(即使用戶可能同意安裝它或希望繼續使用它)。 PUP 可能會做出不受歡迎的行為,例如在 Web 瀏覽器中安裝工具欄、顯示廣告以及更改默認瀏覽器主頁和/或搜索引擎。 PUP 還可能消耗系統資源並導致操作系統變慢、崩潰、安全漏洞和其他問題。 潛在不安全的網站和 IP 地址可能會傳播惡意軟件、病毒、特洛伊木馬、鍵盤記錄程序和/或 PUP。 潛在不安全的網站和 IP 地址也可能參與網絡釣魚、數據盜竊和/或其他詐騙或未經授權的行為。

儘管存在關於Cookie以及它們對用戶系統構成問題或威脅的程度(如果有的話)的爭論,但隨著時間的推移,cookie已被許多用戶識別為潛在的隱私風險。 Cookie(取決於開發人員的設計目標)可能會在您上網時用於跟踪您的個人信息和瀏覽習慣。設置cookie的公司可能會檢索信息。用戶可能希望刪除這些對像以幫助維護其在線隱私。由於某些用戶將跟踪cookie視為潛在的隱私問題,因此SpyHunter會在用戶系統上檢測到一些(但不是全部)cookie。對於SpyHunter檢測到的cookie,用戶可以選擇允許其在各自的系統上運行,也可以根據個人喜好將其刪除。

EnigmaSoft將基於機器的靜態和動態分析(包括啟發式和預測性行為原理)與一般用戶體驗指標及其自身的技術專長相結合,以分析可執行文件和其他對象的行為和結構。通過這些以及其他專有過程,EnigmaSoft將對象分類為包括惡意軟件,PUP和隱私問題在內的類別,以檢測,阻止和/或刪除項目以保護用戶。

與某些其他反惡意軟件程序開發人員一樣,EnigmaSoft還考慮並利用了標準,更新數據和標準來設置其威脅評估標準,這些標準可從受尊敬的第三方反惡意軟件研究來源獲得。例如,EnigmaSoft考慮由AppEsteem,Inc.制定的標準和標準,尤其包括AppEsteem的ACR(" AppEsteem認證標準")。再舉一個例子,EnigmaSoft考慮了反間諜軟件聯盟(" ASC") 先前 在設置其威脅評估標準時所 建立的風險模型中的潛在相關因素 包括ASC風險模型的各個實質性部分。 EnigmaSoft憑藉其技術專長,不斷研究和更新惡意軟件風險以及用戶開發EnigmaSoft特定標準的經驗,增強了其SpyHunter威脅評估標準。在構建EnigmaSoft的威脅評估標準模型時,我們確定了EnigmaSoft用來對SpyHunter的可執行文件和其他對象進行分類的一組特定功能和行為。 由於惡意軟件、PUP、不安全的網站和 IP 地址和/或其他潛在威脅或令人反感的程序在不斷發展和適應,隨著新的不良做法被發現和利用,我們會隨著時間的推移不斷重新評估和重新定義我們的風險評估模型。

該文檔通常描述了我們的威脅評估標準。更具體地說:

  • 概述了將用戶計算機上的軟件分類為潛在惡意軟件或包含有害技術的通用術語和過程;
  • 描述可能導致檢測的行為,以便我們的工程師,技術人員,Internet用戶和客戶對我們的決策過程有更好的了解;和
  • 概述了 EnigmaSoft 用於對軟件應用程序、網站和 IP 地址進行分類的方法。

注意: 我們的威脅評估標準基於行為。下面的標準是EnigmaSoft用來確定的關鍵因素,但不一定每一個實例都適用它們。因此,我們可能決定使用全部或部分標準以及其他因素-所有這些都是為了最好地保護我們的用戶。 通常,程序的等級將隨著風險行為 增加 隨著提供用戶同意和控制的 行為 降低。在極少數情況下,您可能會遇到一個有用的程序,該程序被歸類為惡意軟件,因為它具有我們標記為惡意軟件的某些方面;因此,建議您在使用SpyHunter進行掃描以檢查計算機上已識別的項目之前,先將其刪除。

1.建模過程概述

威脅評估標準風險建模過程是EnigmaSoft用於確定程序分類的通用方法:

  1. 確定使用的安裝方法
  2. 安裝和研究軟件以確定影響範圍
  3. 衡量風險因素
  4. 衡量同意因素
  5. 權衡風險因素與同意因素,以確定適用的分類和級別(如果有)

注意: EnigmaSoft將權衡並綜合考慮這些因素,稱為" 威脅評估級別" ,我們將在本文檔中對其進行定義。例如,即使默認情況下此類行為被"關閉",我們也可能檢測到跟踪用戶的程序。在這種情況下,我們可能會將程序檢測為潛在有害程序或威脅,但是將其警告級別設置為低。

2.風險類別概述

惡意軟件和其他潛在有害程序(PUP)包含可能引起用戶關注的多種行為。我們通常專注於以下領域的技術:

  1. 隱私權可能會訪問,收集和/或洩露用戶的敏感個人信息或數據,並且用戶可能面臨以下風險:
    1. 遭受欺詐或身份盜用
    2. 個人信息丟失
    3. 未經授權的追踪
  2. 安全性 –對計算機系統完整性的威脅,例如:
    1. 攻擊計算機,或將其用作攻擊的一部分
    2. 通過降低安全性設置使計算機面臨風險
    3. 以未經授權的方式使用計算機資源
    4. 隱藏用戶程序
    5. 使用戶遭受勒索軟件攻擊或以其他方式破壞用戶數據
  3. 用戶體驗 –以優選的方式影響用戶使用計算機的能力,而不會造成乾擾,例如:
    1. 投放意外廣告
    2. 未經用戶披露和/或同意而更改設置
    3. 造成系統不穩定或性能降低

這些風險類別不是相互排斥的,並且不限於上述示例。相反,這些風險類別代表了我們檢查的一般領域,它們有助於以簡短的通用語言描述對我們檢查的用戶的影響。

例如,SpyHunter可能會檢測到程序,因為它攔截了網絡流量。在標記程序時,SpyHunter可能會說明它會影響用戶的隱私,而不是說明底層技術的詳細信息(可能會在我們的網站上提供更詳盡的描述)。為了進一步描述程序,我們可以選擇按每種風險類別對程序進行評分。我們也可以將類別合併為一個評分。

3.風險和同意因素

許多應用程序具有復雜的行為-根據我們的研究,經驗和政策,最終確定是否將程序標識為危險程序需要風險評估團隊做出判斷。以下是風險建模過程中的關鍵注意事項:

  1. 技術/活動是中立的:諸如數據收集之類的技術和活動是中立的,因此視其上下文而定是有害或有用的。在做出決定之前,我們可能會考慮增加風險的因素和增加同意的因素。
  2. 許多風險因素可以緩解:風險因素表明程序具有某些行為。我們可能會在上下文中考慮此行為,並確定同意因素是否可以減輕風險。某些風險因素可能不會單獨導致程序檢測,但與其他因素一起考慮時,可能會導致檢測。某些風險因素具有足夠的影響力,無法緩解,例如通過安全漏洞進行安裝。 EnigmaSoft風險評估團隊可能會選擇始終向用戶發出有關此類行為的程序的警報。
  3. 力求客觀,一致的規則:以下概述的因素通常是客觀的並且易於一致地應用。但是,某些因素無法通過程序確定。但是,這些因素對用戶可能很重要(例如程序對欺騙性文字或圖形的使用)。在這些情況下,我們可能會根據自己的內部威脅評估政策確定影響。我們的目標是確定增加風險的因素和增加同意並平衡它們的因素,以確定程序所帶來的威脅。
  4. 對於希望避免被SpyHunter或我們的在線數據庫站點檢測到的軟件作者的一般建議是:
    1. 最小化風險因素
    2. 最大化同意因素

4.風險因素("不良行為")

以下風險因素是可能會對用戶造成傷害或破壞的行為。在某些情況下,可能需要該行為,例如用於個性化的數據收集,但是如果未經授權,仍可能會帶來風險。通過提供適當的同意因素,可以減輕許多此類風險。

在某些情況下,即使已經通過EULA / TOS或其他方式獲得了普遍同意,風險也可能足夠嚴重,因此賣方應確保將風險明確告知用戶。某些監視或安全工具可能就是這種情況。 (想要此功能的用戶將在收到明確警告後安裝此類程序,並已獲得知情同意。)但是,無論是否同意,某些風險(例如"通過安全漏洞進行安裝")都可能需要自動檢測。

某些風險因素可能很小,不足以單獨進行檢測。但是,低風險行為可以幫助區分兩個相似的程序。此外,可以組合低風險行為,如果存在足夠的低風險行為,則可能導致將較高風險分配給程序。 我們可能會考慮許多因素,包括調查確認的用戶反饋,我們可用於識別惡意軟件,威脅和/或PUP的常規資源,服務條款(TOS)協議,最終用戶許可協議(EULA)或評估風險因素時的隱私政策。

我們主要根據軟件本身固有的行為對軟件進行評分和分類,但我們也會仔細檢查安裝方法。請注意,安裝方法不僅因程序而異,而且還隨軟件發行商而有所不同,在某些情況下甚至隨發行模型而異。如果發現有侵入性,秘密或剝削性安裝,我們的風險評估團隊會考慮到這一事實。

儘管如果未經授權,所有行為都可能會引起問題,但某些行為由於其影響更大,因此從本質上講更加嚴重。因此,對它們的處理更加嚴格。同樣,行為的影響可能會根據執行頻率而有所不同。影響還可以根據行為是否與其他關注行為組合以及用戶提供的有關特定行為的同意程度而有所不同。

下文第6節中的列表是EnigmaSoft風險評估團隊成員在其威脅評估級別的最終評估中考慮的一組綜合風險因素。我們可以根據模型公式權衡風險因素。 注意:如果任何軟件發行者的合法公司或實體僅在CIS(獨立國家聯合體)中華人民共和國(中華人民共和國)NAM(不結盟運動)國家居住,而在該國沒有任何法律實體或公司住所美國及其領土,歐盟和英聯邦(包括英國,加拿大,澳大利亞,新西蘭,香港和其他最高的人均會員),我們可能會確定該發布者軟件的風險因素可能很高,因此我們可能會將其在我們的軟件數據庫和網站中的產品和服務歸類為風險軟件。僅位於獨聯體,中華人民共和國和不列顛哥倫比亞省的國家通常不在西方法律及其執法機構的管轄範圍之內。

5.同意因素("良好行為")

如下面第6節中更詳細討論的那樣,向用戶提供某種程度的通知,同意和控制的程序可以減輕風險因素。某些行為可能會帶來如此高的風險,但是,沒有任何程度的同意可以減輕這些風險。我們通常會警告用戶這種行為。

重要的是要注意,同意因素是每個行為。如果程序具有多種危險行為,則將分別檢查每個程序的同意經歷。

儘管所有獲得同意的嘗試都是有幫助的,但是某些做法可以使EnigmaSoft得出更強有力的結論,即用戶理解並同意所討論的特定行為。權重級別級別1級別2級別3 )表示同意行為的相對順序。這些因素應視為累積的。 1級代表不太活躍的同意,而3級代表最活躍的,因此是最高的同意。

同意被納入評估風險的過程中。例如,在下面的第6節中的列表中,術語"潛在的不良行為"指的是任何程序活動或技術,如果被濫用,它們可能給用戶帶來風險,例如未經用戶同意就收集數據或更改系統設置。

以下列表包含EnigmaSoft風險評估團隊成員在最終評估被評估軟件的威脅評估級別時要考慮的同意因素。我們可以權衡我們認為適合我們的建模公式的同意因子。

6.最終威脅評估分數("威脅評估等級")

EnigmaSoft風險評估使用上述建模過程,通過平衡風險因素和同意因素來確定最終威脅評估得分威脅評估級別 。如前所述,EnigmaSoft的決定可能與其他供應商的決定不同,但是開發人員通常可以通過最小化風險因素和最大化同意因素來避免其程序獲得較高的威脅評估評分。同樣,某些風險可能非常嚴重,以至於EnigmaSoft始終會告知用戶有關影響的信息,而不管其同意程度如何。

風險建模過程是一個生動的文檔,隨著新行為和新技術的出現,它會隨著時間而變化。目前,我們在SpyHunter和在線數據庫中發布的最終威脅評估級別基於整個文檔中所描述的"同意因素/風險因素建模過程"的分析和相關性。 確定的對象嚴重性級別基於建模過程中產生的0到10分。

下面的列表描述了SpyHunter使用的每種威脅評估級別的功能。 威脅評估級別如下:

  1. 未知 尚未評估。
  2. 安全 ,得分為0:這是安全且可信賴的程序, 根據我們所掌握的知識,我們了解沒有危險因素,並且確實有較高的同意因素水平。 SAFE程序的典型行為特徵如下:
    1. 安裝與分配
      • 通過下載進行分發,以帶有明顯標籤的軟件包分發,並且不受聯盟3級捆綁銷售
      • 安裝之前需要獲得高層的同意,例如註冊,激活或購買3級
      • 具有清晰明確的設置體驗,用戶可以取消第3級
      • 在EULA / TOS 2級之外,明確指出了潛在的不良行為,並進行了顯著披露
      • 潛在的不良行為是程序預期功能的一部分(即,電子郵件程序有望傳輸信息) 級別3
      • 用戶可以選擇退出潛在有害行為2級
      • 用戶必須選擇參與可能的有害行為級別3
      • 在我們的 3級 模型下,必要時在軟件更新之前獲得用戶同意
      • 在我們的 3級 模型下,在必要時使用被動技術(例如跟踪cookie)之前需要徵得用戶的同意
    2. 捆綁的軟件組件(將安裝的單獨程序)
      • 所有捆綁的軟件組件均在EULA / TOS 2級之外明確標出並公開披露
      • 用戶可以查看和退出捆綁的組件級別2
      • 用戶必須選擇加入捆綁的組件級別3
    3. 可見性(運行時)
      • 符合行業標準(發布者,產品,文件版本,版權等)的文件和目錄具有清晰,可識別的名稱和屬性( 級別1)
      • 文件由發布者進行數字簽名,並具有信譽良好的 2級 權威機構的有效數字簽名。
      • 程序處於活動狀態時(系統托盤圖標,橫幅等)有次要提示2級
      • 程序處於活動狀態時(應用程序窗口,對話框等),具有主要指示。3級
    4. 控制(運行時)
      • 贊助商程序僅在讚助商程序處於活動狀態時運行2級
      • 除卸載級別2之外,清除方法以禁用或避免程序
      • 程序要求用戶明確同意後才能開始(即,雙擊圖標) 3級
      • 程序需要選擇加入,然後自動啟動 適當 披露啟動程序 ,必要時在我們的 3級 模型下
    5. 程序刪除
      • 在已知位置(例如"添加/刪除程序") 2級提供直觀,功能強大的卸載程序
      • 程序卸載程序刪除所有捆綁的組件2級
  3. 得分1至3:低威脅級別程序通常不會使用戶面臨隱私風險。它們通常僅將非敏感數據返回到其他服務器。 低威脅級別的程序可能會顯示令人討厭且侵入性的廣告,這些廣告可能無法清晰地標識為來自該程序。可以將它們卸載,但是該過程可能比其他程序更困難。通常,在安裝過程中不會顯示EULA / TOS 。如果這些低威脅級別程序的軟件發布者俱有較高的同意度,則我們可以將程序重新分類為安全。 威脅級別程序的特徵可能包括:
    1. 識別與控制,包括但不限於:
      • 沒有跡象表明程序正在應用程序中運行,例如圖標,工具欄或窗口-
      • 沒有指示程序正在獨立運行,例如任務欄,窗口或任務欄圖標-
    2. 數據收集,包括但不限於:
      • 上傳可用於離線和在線跟踪用戶行為的數據,以及可能敏感但無法個人識別的其他類型的數據-
      • 使用跟踪cookie收集信息-
    3. 用戶體驗,包括但不限於:
      • 廣告:顯示明顯歸因於源程序的外部廣告,例如在程序旁邊開始-
      • 設置:修改用戶設置,例如收藏夾,圖標,快捷方式等。-低
      • 系統完整性:使用非標準方法附加到其他程序,例如瀏覽器-
    4. 刪除,包括但不限於:
      • 卸載程序反复嘗試刺戳或強迫用戶取消卸載-
  4. 中等 (4-6分):在這些威脅級別,程序通常具有欺騙性,惡意和/或令人討厭的功能。這些程序還可能造成不便,向最終用戶顯示誤導性信息,或將個人信息和/或網絡衝浪習慣傳送給惡意軟件發布者或身份盜用者。即使這些程序中的某些程序可能表現出較高的同意度,我們也會由於這些惡意軟件開發人員的欺騙性,令人討厭或邪惡的做法對這些程序進行分類,檢測和刪除。此中等威脅級別的典型特徵可能包括:
    1. 安裝和分發,包括但不限於:
      • 未經用戶明確同意,許可或知識(例如不提供或忽略用戶取消更新的請求)的軟件自動更新,除非在我們的模型下必要或適當 - 中等
    2. 識別與控制,包括但不限於:
      • 程序的識別信息不完整或不正確- 中等
      • 程序被難以識別的工具所迷惑,例如包裝工-
    3. 聯網,包括但不限於:
      • 用網絡流量淹沒目標-
    4. 數據收集,包括但不限於:
      • 收集個人信息,但將其存儲在本地-
      • 上載任意用戶數據,其中一些可以個人識別-
    5. 用戶體驗,包括但不限於:
      • 廣告:顯示隱式或間接歸因於源程序的外部廣告(例如帶有標籤的彈出窗口)-
      • 設置: 未經披露和/或同意(錯誤頁面,主頁,搜索頁面等) 更改瀏覽器頁面或設置,除非在我們的模型下必要或適當 - 中等
      • 系統完整性:具有其他風險行為,可能導致頻繁的系統不穩定,以及其他風險行為,可能使用過多的資源(CPU,內存,磁盤,句柄,帶寬)-
    6. 非程序性行為,包括但不限於
      • 包含或散佈令人反感的語言和內容-
      • 包含廣告組件,並安裝在專門針對13歲以下兒童,針對13歲以下兒童或針對13歲以下兒童使用的網站上或通過這些網站進行安裝-
      • 用途誤導,迷惑,欺騙或脅迫文本或圖形,或者其他虛假的索賠誘導,強逼,或導致用戶安裝或運行軟件或採取行動(例如點擊廣告) -
    7. 其他行為,包括但不限於:
      • 程序在未經披露和/或同意的情況下修改其他應用程序,除非在我們的模型下有必要或適當 - 中等
      • 程序以未經授權的方式生成序列號/註冊碼-
  5. (7至10分):在這些威脅級別,EnigmaSoft風險評估團隊通常不會考慮任何同意因素,因為這些程序對最終用戶和整個Internet社區都構成了嚴重的風險。處於這種威脅級別的程序通常包括鍵盤記錄程序,木馬, 勒索軟件,rootkit,蠕蟲,殭屍網絡創建程序,撥號程序,病毒以及惡意反間諜程序的變體。下面是我們在的威脅等級分類程序行為特徵的列表:
    1. 安裝和分發,包括但不限於:
      • 複製行為(程序的群發郵件,蠕蟲或病毒重新分發)-
      • 未經用戶明確許可或知識(例如不提供或忽略用戶取消安裝的請求,執行直接安裝,使用安全漏洞進行安裝或作為軟件包的一部分進行安裝而沒有通知或警告)的安裝:高的評級表明一個典型的等級為這個項目和它的相對危險度的比重,取決於安裝的項目的影響和/或數量而變化) -
      • 卸載其他應用程序, 競爭 程序和安全程序 ,除非在我們的模式下必要或適當時除外 -
      • 程序下載,捆綁或安裝有潛在不良行為的軟件(提醒:高等級表示該物品的典型等級及其相對風險。具體重量可能因安裝的物品的影響和/或數量而異。)-
    2. 識別與控制,包括但不限於:
      • 創建多態或隨機命名的文件或註冊表項,除非在我們的模型下必要或適當時使用 -
    3. 聯網,包括但不限於:
      • 代理,重定向或中繼用戶的網絡流量或修改網絡堆棧-
      • 創建或修改"主機"文件以轉移域引用,除非在我們的模型下必要或適當時使用 -
      • 更改默認網絡設置(寬帶,電話,無線等), 而無需披露和/或同意,除非在我們的模型下必要或適當時 -
      • 在沒有用戶許可或知識的情況下撥打電話號碼或保持開放連接-
      • 更改默認的Internet連接以高價(即正常速率的2倍)進行連接-
      • 在沒有用戶許可或知識的情況下發送包括電子郵件,IM和IRC在內的通信-
    4. 數據收集,包括但不限於:
      • 傳輸個人身份數據 無需披露和/或同意,除非在我們的模型下必要或適當 (提醒:技術是中性的,並且僅在被濫用時才成為高風險因素。可以在收到通知和通知的情況下接受個人身份數據的傳輸)同意)-
      • 攔截通信,如電子郵件或IM對話 無需披露及/或同意,除非必要,或我們的模型 (提醒下適用 :技術是中性的,一旦被濫用,他們只能成為一個高風險因素截取通訊可以接受的。 (在適當的情況下,需要獲得通知和同意)-
    5. 計算機安全,包括但不限於:
      • 隱藏用戶和/或系統工具中的文件,進程,程序窗口或其他信息-
      • 拒絕訪問文件,進程,程序窗口或其他信息-
      • 允許遠程用戶更改或訪問系統(文件,註冊表項,其他數據)-
      • 允許繞過主機安全性(特權提升,憑據欺騙,密碼破解等)-
      • 允許遠程方識別主機上或網絡上其他地方的漏洞,除非在我們的模型下有必要或適當時,否則 -
      • 利用主機或網絡上其他位置的漏洞-
      • 允許對計算機進行遠程控制,包括創建進程,通過計算機發送垃圾郵件或使用計算機對第三方進行攻擊-
      • 禁用安全軟件,例如防病毒或防火牆軟件-
      • 降低安全性設置,例如在瀏覽器,應用程序或操作系統中-
      • 允許對應用程序進行遠程控制,而不是自我更新-
    6. 用戶體驗,包括但不限於:
      • 廣告:顯示未歸因於他們的源程序外部廣告(這不包括在線內容的廣告用戶故意參觀,如網頁)。此外,替換或以其他方式更改網頁內容,例如搜索結果或鏈接,除非在我們的模型下有必要或適當時 -
      • 設置:更改文件,設置或過程以減少用戶控制 無需披露和/或同意,除非在我們的模型下必要或適當時 -
      • 系統完整性:禁用或與系統功能(右鍵點擊行為,能夠使用系統工具等), 不披露及/或同意干涉,除非必要,或我們的模型在適當的 -
    7. 刪除,包括但不限於:
      • 自我修復行為,可防止拆卸或更改其組件,或者需要異常,複雜或繁瑣的手動步驟來運行卸載程序,除非在我們的型號下有必要或適當時,否則 -
      • 卸載程序無法從功能上刪除程序,例如在重新引導後使組件運行,不提供卸載捆綁的應用程序或靜默地重新安裝組件的功能-
      • 沒有提供一種簡單,標準的方法來永久停止,禁用或卸載程序(例如"添加/刪除程序"或等效程序)-
      • 對於其他風險行為,不提供卸載捆綁或隨後安裝的軟件組件的權限-
加載中...