討人厭的網路行為偵測木馬程式

討人厭的網路行為偵測木馬程式
 
(以下內容,將會收錄到撰寫中的新版教科書,引用時,請註明出處http://wangson.idv.tw


要研究網路使用行為,可以使用的方法,是用問卷詢問受訪者的網路行為,但這畢竟隔了一層紗。如果能夠設計個軟體,直接監視使用者,看看使用者在做什麼,對研究者來說,似乎是很具吸引力的。
裝個程式,監督使用者,不但對研究者來說很具吸引力,對實務的行銷工作者來說,這更是吸引人。如果能知道使用者都上哪個網站,當然就能夠知道到底網站廣告有沒有效。
雖然,網路行為是個不錯的研究主題,但除了問卷調查以外,很難進行資料收集。網路行為的偵測木馬,雖然可行,但有很嚴重的倫理問題。舉例來說,我們不能因為想知道誰看哪台電視,就在電視裝個監視器,隨時回報電視的收視行為。是吧!
雖然很討厭專門側錄網路行為的木馬程式。從法律的角度來說,這樣的木馬程式,應該是侵權的行為,但也許只有民法可以訴諸賠償;而從刑法的角度來說,是否違法,違反哪個法律,還真的有點討論空間或爭議。因為很多放置網路行為偵測木馬的公司,都會用很多技巧,讓自己的法律責任減到最低或沒有。
但從道德角度來說,這些木馬程式,是不符合道德的。無論是基於學術研究,或是基於網路行銷市場調查,只要未經許可,偷裝木馬程式,就是不道德的行為。
即使這些木馬程式在安裝到電腦的時候,取得了使用者的許可,該木馬程式也應該要(1) 提供可以隨時解除安裝的簡便程序,並提醒使用者,可以隨時解除安裝,並且(2)告訴使用者,該木馬程式的安裝,會對電腦造成什麼樣的影響;以及(3)告訴使用者傳送了什麼資訊。另外,還應該要(4)給予使用者適當的回饋,就好像在路上攔人做問卷,問卷結束後,該給個贈品,以彌補受訪者花費的時間。

一、網路行為木馬程式的來源與目的
這個木馬程式與彈出式廣告常有很大關係,彈出式廣告來自兩個可能,一個是您瀏覽的網站,一個是安裝的程式。有一些程式被稱為是廣告軟體(adware),就是因為該程式雖然免費,但靠提供廣告來獲利。有些免費軟體(freeware)或共享軟體(shareware),其實是廣告軟體(adware)。有些程式本身本來沒有問題,但在被peer-to-peer分享過程中,被人偷裝了這類木馬程式。

這種木馬程式的運作原理,是監視電腦,或偷偷將cookies檔案傳送給網站。cookies檔案是一種文字檔,將個人化的資訊放在電腦的目錄內,以便進入下一頁時,不必重複輸入資料,或下次進入網站時,能記得上次的紀錄。很多網站都會放置cookies檔案到使用者的電腦,而每個網站理論上都只能讀到自己網站放到使用者電腦的cookies,但木馬程式不同於其他程式,會偷偷將其他網站的cookies傳送給網站,造成使用者的瀏覽行為資訊可以被掌控,被掌控的資訊,可能會包括瀏覽網站列表、瀏覽時間、網站偏好設定、如果使用者讓電腦自動填入帳號密碼資訊,則也可能會外洩帳號密碼,這些資訊可能是無傷害的,但如果網站在cookies時不小心,例如將帳單資訊放到cookies,也可能讓使用者受到傷害。這種木馬程式可能有能力紀錄諸如信用卡號碼、帳號密碼等資訊。

這種木馬程式,也可能很簡單的放在網頁內,以類似這樣的程式碼,鑲嵌到網頁內,成為一個只有1像素*1像素大小的圖形。
<img src="http://網站網址/程式碼目錄與參數" width="1" height="1" border="0">

或者是變成一個圖形的附加hyperlink,例如
<a href="http://網站網址/程式碼目錄與參數" target="_blank">
      <img src="一個賞心悅目的美女或風景圖形檔" width="450" height="60" border="0"> </a>

當然,這是最簡單的放置方式,一般有技巧的人,不會用這麼簡單的方式,來放置這種木馬程式。

有些網站在該網站的隱私權聲明中,提到網站會安裝這類的木馬程式,有些軟體在他的著作權聲明中,也會提到該程式會安裝這類的木馬程式,這些聲明讓放置木馬的公司或個人,在法律上得以某些的免責(但是否真的免責,恐怕還有疑問)。此時,責任似乎落到使用者身上,誰叫使用者不把這些隱私權聲明或著作權聲明看清楚。不過,從使用者的角度來說,瀏覽網站或使用該程式時,雙方處於某種的「交易」關係,瀏覽結束後或程式關閉後,此一暫時性的關係就結束了,使用者並沒允許您在關係結束後,還能繼續監視使用者的行為。類比的說法是,進入捷運車站時,使用者被監視器監督,這是使用者知道的事,但使用者並沒有允許捷運公司,可以在使用者身上偷裝針孔,讓使用者搭乘其他交通工具時的行為,可以被捷運公司知曉。這之間的法律關係,要法律專家才能釐清了。


二、出現網路行為木馬程式的徵狀
1. 掃毒程式警告
既然您花了錢買掃毒程式,防毒、掃毒程式當然會設法找到這種木馬。但是,偶而也會有漏網之魚。有時,只要您再次瀏覽網站,該木馬就會再次出現。
2. 電腦速度變慢
這些木馬程式,可能不斷的收集您的資料,因此您的電腦可能速度會變慢。
3. 首頁可能會被改變
以前有些色情網站木馬程式,會很討厭的將首頁設定成該色情網站,而且無論如何修改,首頁都還是該色情網站。這讓瀏覽過該網站的使用者,困擾不已。
4. 不斷彈出廣告網頁
這些木馬程式,既然已經安裝到您的電腦,那就乾脆多做一點,讓您的電腦可以彈出他的廣告。很多網頁廣告是以瀏覽量計費的,因此,多出現一次廣告網頁,就多一個收入。
5. 桌面或瀏覽器出現新的捷徑或按鈕
桌面或瀏覽器,可能會出現新的捷徑或按鈕,以便引誘您按下這個按鈕,到所指定的網頁。同樣的,多出現一次廣告網頁,就多一份廣告費收入。
6. 用您的名義,寄出垃圾郵件或病毒郵件
既然木馬程式已取得您的email帳號,也取得了您的相關資訊,當然就可以冒充您的身分,寄出垃圾郵件,或寄出病毒郵件了。有時候,這些垃圾郵件與病毒郵件,是用您的電腦寄出的,有時候,您的電腦沒開機,但別人卻收到您寄出的垃圾郵件或病毒郵件,這是因為您的身分被盜用,而不是您的電腦中毒。基本上,很多電腦都裝了防毒程式,因此要用您的電腦發出垃圾郵件或病毒程式的可能性並不高,但您的個人資訊外洩後,確實可以用別的電腦,以您的名義發出垃圾郵件或病毒郵件。
7. MSN messager等即時通訊帳號被盜用
既然電腦被裝了木馬,就有MSN messager或Yahoo messager的帳號密碼就有可能被取得,取得這些帳號密碼後,就能冒用您的名義,傳送有病毒的網站的網址,給您的朋友。您是否曾經莫名其妙的收到朋友用MSN messager傳來的網址,但卻完全沒有說明該網址要幹麻,也沒有相關交談內容呢?這很可能不是您的朋友傳送給您的,而是被冒用傳送的。

三、移除方法
(1) 掃毒程式或防毒軟體
無論哪個掃毒程式,通常都能找到一些木馬程式,或是病毒。但是,防毒程式並非絕對有效,偶而也會有漏網之魚。而有些木馬程式,會不斷出現,只要您再次瀏覽網站,該木馬就會再次出現。
而且,這些網路行為偵測木馬,經常是大型網路廣告公司為了測試網站廣告效果,或者進行網路市場調查,所設計的軟體。而且,這些程式經常號稱不會收集個人基本資料,也不會個別洩露所收集來的資訊,而只會用統計分析的方式呈現所收集的資訊。既然是大型網路廣告公司所為,則防毒程式自然投鼠忌器,不能直接把這些木馬掃乾淨。
(2) 專門移除木馬的網站
除了防毒軟體外,下面這幾個網站可以協助掃描或移除一些木馬程式,不過有些要付費,才能移除。有些電腦高手也會在網路上公佈移除方法或移除程式。不過,要小心,網路上有些專門移除病毒或木馬的網站,本身也有病毒或木馬。

http://www.spybot.info
http://www.pctools.com/spyware-doctor/
http://www.411-spyware.com/remove-atdmt
http://www.lavasoftusa.com/software/adaware/
http://www.io.com/~cwagner/spyware/
http://www.download.com/Bazooka-Adware-and-Spyware-Scanner/3000-8022-10247782.html?part=dl-bazooka&subj=dl&tag=button
http://securityresponse.symantec.com/avcenter/security.risks.tools.list.html
http://www.exterminate-it.com/


(3) 自力救濟
當然,大部分的程式,如果想要自己移除,也可以這樣做:點選視窗中的「開始」,並找到「控制台」,找到「新增與移除程式」,把可疑程式移除。
問題是:哪個程式是可疑程式?這點,就考驗您的電腦功力了,通常,要專業人士才能判斷了。




四、常見的網路行為偵測木馬

以下是幾個常見的網路行為木馬程式,您將發現,這些程式有些根本是非常大規模公司所建置的。


1. 2o7
Omniture(http://www.omniture.com)公司承認2o7(http://www.2o7.com)是該公司網站分析軟體所安裝的cookies木馬程式,該公司的幾個產品Omniture SiteCatalyst、Omniture DataWarehouse、Omniture Discover、Omniture SearchCenter都使用這個木馬程式來分析使用者瀏覽哪些網站。

2. YieldManager
YieldManager (http://www.YieldManager.com)是Right Media公司的一個程式,但該公司在網站上表示,這些木馬(無論adware或spyware),並非該公司置入的,而通常是軟體或網站擁有者放進去了。

3. atdmt
Admit(www.atdmt.com)是由 atlassolutions.com 的一個程式,Altas Solutions是Microsoft Advertising 公司的一個服務。沒錯,這個Microsoft,就是您知道的那個Microsoft,而Microsoft Advertising是他的一個廣告服務公司(http://advertising.microsoft.com/)。
Atdmt會紀錄使用者的每一項瀏覽行為,包括上了哪些網站、點選了哪些網頁廣告、上網頻率,Atdmt會將這些資訊傳回伺服器,這些資訊主要是作為行銷分析用途。

4. DoubleClick
Doubleclick是Double Click公司的程式,用於Google content network,此一程式並非專門針對某一特定網站,因此一旦該木馬程式被移除,所有利用Google content network的網頁廣告可能都會受到影響。Google公司在2008年3月購併的這家Double Click公司,這個Google公司,當然就是您熟知的Google。

5. Overture
既然Google有專門收集網路使用行為的資訊,那Yahoo呢?別擔心,Yahoo也有,稱為Overture。Overture是Overture公司的程式,2003年,Yahoo購併了Overture。故事跟Google購併Double Click很像喔!其實,如果從時間點來看,應該是Google購併Double Click的做法很像Yahoo購併Overture。

6. Serving-sys
Serving-sys(http://BS.Serving-Sys.com) 是Eyeblaster公司(http://www.eyeblaster.com/)的一個木馬程式,此程式主要是收集使用者的網站廣告瀏覽與網站使用行為。在收看MSN廣告時,有些廣告會夾帶此一木馬程式。


五、資料來源:
覺得這些內容還不夠嗎?您可以上網,找找更新的資訊

1. http://www.exterminate-it.com/
2. http://www.omniture.com/en/privacy/2o7?f=2o7
3. http://www.removeadware.com.au/articles/atdmt/
4. http://www.doubleclick.com/privacy/dart_adserving.aspx
5. http://www.google.com/intl/en/press/pressrel/20080311_doubleclick.html
6. http://sem.smallbusiness.yahoo.com/searchenginemarketing/
7. http://www.eyeblaster.com/newsletter/archive/06/feb06/index.htm
8. http://www.spybot.info
9. http://www.pctools.com/spyware-doctor/
10. http://www.411-spyware.com/remove-atdmt
11. http://www.lavasoftusa.com/software/adaware/
12. http://www.io.com/~cwagner/spyware/
13. http://www.download.com/Bazooka-Adware-and-Spyware-Scanner/3000-8022-14. 10247782.html?part=dl-bazooka&subj=dl&tag=button
15. http://securityresponse.symantec.com/avcenter/security.risks.tools.list.html
16. http://www.exterminate-it.com/

(以上內容,將會收錄到撰寫中的新版教科書,引用時,請註明出處http://wangson.idv.tw
--
Chih-Chien Wang, Ph.D
Associate Professor,
National Taipei University
http://wangson.idv.tw