共享软件、黑客还是病毒 2001年 40期 在网上,有不少一直被归为共享软件——远程访问工具的软件下载,如:《广外女生》、《网络神偷》等(编注:关于《广外女生》的详细情况介绍及使用方法请参见本报第37期D6版)。其中最为典型的是《网络神偷》,在普通读者中有相当大的影响。   国内的一些反病毒厂商把这两个被一些网站归为共享远程访问工具的软件视为病毒,并列入反病毒产品的查杀范围。由此,引发了一场对这一类共享软件是否应该被视为病毒的广泛争论。下面,就让我们一起来看看。   #1共享软件   观点:枪只是武器,原来是捉坏人的,如果落在歹徒的手里,就变成对抗人民的工具,威胁人民的生命财产安全了。有人用菜刀砍人,那是不是应该禁止卖刀呢?   “网络神偷”本身的确就是一个可用于远程控制的工具,它并不是什么黑客程序或病毒,就像著名的远程控制软件pcAnywhere一样。   科学技术本身就是一把双刃剑,并没有什么正邪之分。问题的实质在于人们怎么使用它,是用它来造福我们的生活还是用它来进行一些罪恶的行径对他人产生危害。   #1黑客程序、病毒   观点:什么叫病毒,难道只是流感才叫病毒?所谓电脑病毒就是会对电脑正常的使用构成威胁的恶意程序。相信没有人愿意自己的电脑在不知情的情况下被其他人控制。   “网络神偷”在运行时有针对性地关闭杀毒和防火墙软件的运行。无论从写这个程序的出发点来看,还是从这个程序应用的结果来看,它都是不折不扣一种病毒。   从这个程序开发的目的和用意来看,本身就不正确,而使用这些程序所产生的危害也是铁证如山不可否认。   这两大阵营各执一词,互不相让,让旁观者们莫衷一是。到底谁对谁错?我们究竟又应该用什么样的态度对待这一类软件?记者带着这样的疑问采访了几位长期从事反病毒研究的专家。   专家评断:判断一个程序是不是病毒一定要从技术上分析它的机理和特性,非授权可执行性是计算机病毒的第一要义。一个程序如果具有这一特性,即使是它的表现和作用是不具危害的,我们也必须把它视为病毒,列入查杀范围。就像法律和道德都不容忍那种不经对方允许的行为发生。因此,以上软件应当被判定为病毒!   我们以“网络神偷”为例,详细分析一下该程序的特性。   “网络神偷”的服务端运行原理跟一般的远程控制程序不同,它利用“反弹端口”原理——服务端(被控制端)主动连接客户端(控制端),而且做得甚至比一般的黑客软件还要隐蔽,监听端口开在用来提供网页浏览服务的80端口,这样,即使用户使用端口扫描软件检查自己的端口,也难以发现。而控制端发给服务端的数据是通过一个第三方如一个主页空间来实现的,控制端通过FTP写主页空间上的一个文件,而服务端定期用HTTP协议读取这个文件的内容,当发现客户端让自己开始连接时,就主动连接。这样,控制端就可以穿过采取普通防护级别的防火墙,对被控制端进行防问,甚至还能访问局域网内部的电脑。这也就是说,通过它就可以不经允许或者说在对方还不知情的情况下对别人的电脑为所欲为了,就像在使用自己的电脑一样。   上面是它的运行机制,让我们再来看看它的传播机制。除部分网站有下载外,“网络神偷”通常还采用“捆绑机”形式进行传播,比如通过一种非常规形式和其它正常的应用程序捆绑在一起,伪装和欺骗性非常强。当用户安装和运行带服务端程序的软件后,服务端就从“捆绑机”中释放出来随即驻留客户机。从目前业界的认识来看,“捆绑机”本身就通常被视为非法操作。   总的来说,以上提到的软件不仅具有非授权可执行性,从设计角度就蓄意隐藏和非法入侵,而且传播方式极其恶劣,甚至违反法律。这些特征也是我们把它列为病毒而且是防范级别很高的恶性病毒的原因。如果对这样的恶意程序熟视无睹的话,同样也是犯罪。